Onlinebanking, Facebook, E-Mail, Webshopping – wer im Internet unterwegs ist, muss sich permanent ausweisen. Dazu dient fast überall die Kombination aus Nutzername und Passwort. Und weil es auch in der virtuellen Welt um den Schutz ausgesprochen realer Dinge geht (vom Geld auf dem Konto über persönliche Fotos, Aufzeichnungen und Korrespondenz bis zur eigenen Identität), muss das Passwort sicher sein. Und dafür existiert eine höchst amtliche Empfehlung: mindestens zwölf Zeichen, darunter Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern. Das macht ein Passwort zu einem guten Passwort, wenn man dem Bundesamt für Sicherheit in der Informationstechnik (BSI) glaubt. Namen, Geburtsdaten und ähnlich leicht erinnerbare Bestandteile sind tabu, klar. Natürlich sollen Passwörter regelmäßig gewechselt werden – und niemals für mehr als einen Dienst gleichzeitig benutzt werden.

Ein derartiger Schutz mag tatsächlich einigermaßen sicher sein, auf jeden Fall ist er völlig unpraktikabel. Nur Erinnerungsgenies können sich Dutzende abstrakter Kennwörter merken. Normalnutzer stehen vor einer unlösbaren Aufgabe. Denn aufschreiben, so der dringende Rat des BSI, dürfen sie ihre Passwörter keinesfalls.

Das Bundesamt empfiehlt deshalb einen sogenannten Passwort-Tresor. Der speichert all die verschiedenen Kennwörter in einer einzigen verschlüsselten Datei, die sich nur mit einem Generalschlüssel (Masterpasswort) öffnen lässt. Damit man auch unterwegs an seine Passwörter kommt, kann man die verschlüsselte Datei auf das Handy oder einen USB-Stick speichern. Für iPhone-Besitzer bietet das Darmstädter Fraunhofer-Institut für sichere Informationstechnologie (SIT) eine App, die es Angreifern zusätzlich schwer macht, weil sich der Tresor auch bei Eingabe eines beliebigen falschen Masterpassworts öffnet – allerdings mit irreführendem Inhalt.

Doch die Benutzung von Passwort-Tresoren ist umständlich. Und sie setzt großes Vertrauen voraus: in die Zuverlässigkeit und in die Sicherheit der zugrunde liegenden Technik. Das betrifft sowohl die Software als auch die Hardware, auf der die entschlüsselten Passwörter im Klartext angezeigt werden. Und selbst wenn der Softwarehersteller seriös ist, die Hardware virenfrei und die NSA ihre Finger nicht im Spiel hat, können Passwort-Tresore mit brute force geknackt werden. So heißt es, wenn automatisch viele Milliarden Kombinationen ausprobiert werden, bis eine passt. Wer sich die Mühe nicht selber machen will, kann dafür im Internet einen sogenannten digitalen Schlüsseldienst beauftragen.

Was also tun? Absolute Sicherheit gibt es online so wenig wie offline. Gefragt ist ein möglichst guter Kompromiss zwischen Schutz und Nutzbarkeit, Fachleute sprechen von usable security. Dahinter verbirgt sich leider keine simple Lösung für alle Fälle. Ohne etwas Aufmerksamkeit und Nachdenken funktioniert usable security schlicht nicht. Wer sich jedoch ein bisschen Mühe macht, kann der Passwortplage entgehen.

Wichtig ist es, zunächst einzuschätzen, wie groß der persönliche Sicherheitsbedarf bei einem bestimmten Dienst ist. Denn der ist keineswegs immer gleich. Beim Passwort für das Einloggen in anonyme Diskussionsforen oder das Abonnieren von Newslettern hätte ein Missbrauch keine gravierenden Folgen. Hier reicht ein simples Passwort, das auch im Internetbrowser gespeichert werden kann. Und Sicherheit wäre an dieser Stelle sowieso nur vorgetäuscht, denn häufig werden Passwörter zu derartigen Diensten unverschlüsselt übertragen, können also von jedem Technikkundigen mitgelesen werden.

Dienste, die den Diebstahl von Geld oder Identität ermöglichen, erfordern dagegen das höchste Sicherheitsniveau. Ein langes und kompliziertes Passwort ist für ihren Schutz aber trotzdem nicht nötig. Denn sie erlauben nur drei bis fünf Fehleingaben, danach wird der Zugang gesperrt. Das Knacken des Passworts mit brute force ist dadurch unmöglich. Deshalb sind auch EC-Karten an Bargeldautomaten mit gerade mal vier Ziffern ausreichend geschützt.

Viel wichtiger als ein kompliziertes Passwort ist eine klug gewählte Sicherheitsfrage, mit deren Beantwortung sich der nach mehreren Fehlversuchen gesperrte Zugang wieder öffnen lässt. Wer dafür den Geburtsnamen der Mutter oder seine Lieblingsfarbe aussucht, könnte genauso seinen Haustürschlüssel von außen stecken lassen. Denn Namen, Geburtsdaten und persönliche Vorlieben sind mit einer kleinen Internetrecherche meist schnell herausgefunden. Weitgehend ungeschützt ist auch, wer auf seinem Computer kein Antivirusprogramm laufen lässt, Sicherheitsupdates für Betriebssystem und Software nicht umgehend installiert oder Apps einsetzt, deren Herkunft nicht vertrauenswürdig ist. Er nimmt nämlich in Kauf, von Schadsoftware ausspioniert zu werden.

Über Alternativen zur Kombination aus Nutzername und Passwort wird viel geforscht, wirklich praxisreif ist bisher jedoch nichts davon. Biometrische Merkmale wie Fingerabdruck, Iris, Handvenen oder der persönliche Rhythmus beim Tippen (ZEIT 2/10) sind zwar grundsätzlich als Schlüssel geeignet, aber keineswegs absolut fälschungssicher. Außerdem haben sie den Nachteil, dass sie Nutzer bei allen Diensten eindeutig persönlich identifizieren. Damit erleichtern sie die von der Werbeindustrie und den Geheimdiensten begehrte Profilbildung.

Diesen Artikel finden Sie als Audiodatei im Premiumbereich unter www.zeit.de/audio