Der vollständige Leitfaden zum Passphrase-Schutz auf Hardware-Wallets

Passphrasen in Hardware-Wallets verstehen

1. Eine Passphrase, oft auch als 25. Wort bezeichnet, fügt über den standardmäßigen 12- oder 24-Wörter-Wiederherstellungs-Seed hinaus eine zusätzliche Sicherheitsebene hinzu. Im Gegensatz zur Seed-Phrase, die vom Gerät generiert wird, wird die Passphrase vollständig vom Benutzer ausgewählt und nicht auf der Hardware-Wallet gespeichert.

2. Wenn die Passphrase aktiviert ist, wandelt sie den ursprünglichen Seed in einen völlig anderen Satz privater Schlüssel und Adressen um. Das bedeutet, dass selbst wenn jemand Zugriff auf Ihren Wiederherstellungs-Seed erhält, er ohne die richtige Passphrase nicht auf Ihr Geld zugreifen kann.

3. Das Konzept basiert auf dem Prinzip der plausiblen Leugnung. Benutzer können mehrere Wallets aus demselben Seed verwalten, indem sie unterschiedliche Passphrasen verwenden – wobei jede Passphrase eine separate Wallet mit unterschiedlichen Guthaben und Transaktionsverläufen freischaltet.

4. Durch die Eingabe der falschen Passphrase wird eine völlig andere Wallet generiert, die möglicherweise leer erscheint oder gefälschte Vermögenswerte enthält. Diese Funktion schützt Benutzer in Situationen physischer Nötigung, in denen jemand gezwungen werden könnte, seine Wallet-Daten preiszugeben.

5. Es ist wichtig zu verstehen, dass der Verlust der Passphrase zu einem dauerhaften Verlust des Zugriffs auf die zugehörige Wallet führt. Es gibt keinen Wiederherstellungsmechanismus – keinen Kundensupport, keinen Backup-Server –, sodass eine Speicherung oder sichere Offline-Speicherung unerlässlich ist.

Wie der Passwortschutz die Sicherheit erhöht

1. Standard-Seed-Phrasen schützen bei sicherer Speicherung vor digitalem Diebstahl, bieten jedoch keinen Schutz bei physischer Gefährdung. Eine Passphrase führt einen wissensbasierten zweiten Faktor ein: etwas, das Sie wissen, zusätzlich zu etwas, das Sie besitzen (das Gerät).

2. Selbst bei vollständigem Besitz des Hardware-Wallets und seines Wiederherstellungs-Seeds bleiben Angreifer ohne die richtige Passphrase ausgesperrt. Dadurch verlagert sich der Angriffsvektor vom physischen Diebstahl zur psychologischen Nötigung, was die Schwierigkeit des unbefugten Zugriffs erheblich erhöht.

3. In Umgebungen, in denen die Privatsphäre an erster Stelle steht – etwa bei vermögenden Privatpersonen oder solchen, die unter repressiven Regimen agieren – ermöglichen Passphrasen die Erstellung versteckter Wallets. Diese Geldbörsen sind von normalen Geldbörsen nicht zu unterscheiden und hinterlassen keine forensischen Spuren ihrer Existenz.

4. Durch die Implementierung auf Firmware-Ebene wird sichergestellt, dass die Passphrase während der Eingabe niemals das Gerät verlässt. Es wird intern verarbeitet und verhindert, dass Keylogger oder Malware auf angeschlossenen Computern es erfassen, sofern der Benutzer es direkt über die Tasten des Geräts eingibt.

5. Mehrere Passphrasen ermöglichen die Unterteilung von Geldern. Man könnte eine „tägliche“ Passphrase für kleine Transaktionen und eine andere für langfristige Einsparungen verwenden, um die Gefährdung zu begrenzen, falls eine Umgebung kompromittiert wird.

Best Practices für die Verwaltung von Passphrasen

1. Vermeiden Sie einfache oder vorhersehbare Passphrasen wie Geburtstage, Kosenamen oder gebräuchliche Wörter. Verwenden Sie eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Symbolen, um die Entropie und den Widerstand gegen Brute-Force-Angriffe zu erhöhen.

2. Speichern Sie die Passphrase niemals elektronisch – dazu gehören auch Notizen-Apps, Cloud-Speicher, Screenshots oder verschlüsselte Dateien. Digitale Kopien sind anfällig für Hackerangriffe, Malware oder versehentliche Offenlegung.

3. Erwägen Sie die Verwendung eines physischen Mediums wie einer Metallplatte oder eines feuerfesten Dokumentensafes zur Aufbewahrung der Passphrase, getrennt vom Wiederherstellungs-Seed. Einige Benutzer gravieren Passphrasen auf Titanplatten, die für Krypto-Backups entwickelt wurden.

4. Testen Sie jede Passphrase-Einrichtung unmittelbar nach der Erstellung in einer sicheren Umgebung. Vergewissern Sie sich, dass das richtige Wallet mit den erwarteten Guthaben geladen wird und dass ein Tippfehler ein anderes, leeres Wallet auslöst.

5. Informieren Sie vertrauenswürdige Familienmitglieder oder Nachlassplaner über die Existenz einer Passphrase, ohne sie direkt preiszugeben. Verwenden Sie versiegelte Umschläge oder Treuhandstellen, um die Kontinuität im Falle einer Geschäftsunfähigkeit sicherzustellen.

Häufig gestellte Fragen

Was passiert, wenn ich meine Passphrase vergesse? Das Vergessen der Passphrase bedeutet einen dauerhaften Verlust des Zugriffs auf die geschützte Wallet. Es gibt keine Wiederherstellungsoption, da die Passphrase nirgendwo gespeichert ist. Benutzer müssen es mit der gleichen Bedeutung behandeln wie die Startphrase selbst.

Kann ich meine Passphrase nach der Einrichtung ändern? Sie können eine Passphrase nicht im herkömmlichen Sinne „ändern“. Stattdessen erstellen Sie eine neue Wallet, indem Sie eine andere Passphrase eingeben. Das ursprüngliche Wallet bleibt nur mit der ursprünglichen Passphrase zugänglich. Durch den Wechsel von Passphrasen wird effektiv zwischen isolierten Wallets gewechselt.

Ist eine Passphrase dasselbe wie eine PIN? Nein. Die PIN schützt den physischen Zugriff auf das Gerät und wird bei jedem Entsperren des Wallets eingegeben. Die Passphrase ist optional und wird bei der Wallet-Ableitung verwendet. Für den Vollzugriff sind beide gemeinsam erforderlich, sie dienen jedoch unterschiedlichen kryptografischen Zwecken.

Unterstützen alle Hardware-Wallets Passphrasen? Die meisten seriösen Modelle wie Trezor, Ledger (über bestimmte Einstellungen) und Coldcard unterstützen BIP39-Passphrasen. Die Funktionalität kann jedoch variieren – einige erfordern die Aktivierung des erweiterten Modus und die Benutzererfahrung ist je nach Gerät unterschiedlich.