Passphrase einfach gehalten?

Hallo zusammen,

ich habe eine Frage zur Passphrase:

Wenn man der Meinung ist, dass die 12 oder 24 Wörter nicht gestohlen werden, aber für den Ernstfall trotzdem ein „25. Wort“ (also eine zusätzliche Passphrase) verwendet – kann dieses dann nicht eigentlich ganz einfach gewählt sein?

Denn selbst wenn z. B. ein Einbrecher das Backup findet und erkennt, dass es sich um die Seed-Phrase einer Wallet handelt (die vielleicht nur einen kleinen Betrag enthält), würde er ja vermutlich nicht auf die Idee kommen, dass noch weitere Wallets mit einer Passphrase gesichert sind – oder sehe ich das falsch?

Wird man beim Eingeben der 24 Wörter überhaupt direkt nach der Passphrase gefragt, sodass jemand darauf schließen könnte, dass noch mehr dahinter steckt? Oder müsste derjenige einfach raten?

Ich freue mich auf eure Antworten!

Nur mal zum drüber nachdenken:

Ich war die Tage in einer Wohnung zugegen die zwangsgeräumt wurde. Mitarbeiter der Stadt durften einige Habseligkeiten des Mieters raus holen. Als ich da stand dachte ich mir so, wenn ich jetzt hier ein Einbrecher wäre und 24 Wörter finden müsste. Das wäre vollkommen unmöglich wenn man einigermaßen kreativ ist beim aufbewahren. Wenn man dann noch bedenkt das der Dieb Zeitdruck hat und nicht in seelenruhe alles durchsuchen kann, niemals findet er die Wörter, selber wenn er nur danach sucht.

Man sollte sich nicht verrückter machen als nötig…

Hi, dein Gedankengang ist korrekt. Es wird nirgends automatisch nach dem 25. Wort gefragt und es gibt auch erstmal keinen Hinweis, dass ein solches verwendet wurde.

Ein Indiz für den Dieb wäre lediglich, dass er eventuell weiß, das viele BTC vorhanden sein müssten und er sich wundert, das die 12/24 Wort-Wallet leer ist, erst dann würde er vermutlich anfangen mit 25. Wort zu probieren.

Als Sicherheitsoption ist da ein ganz einfaches 25. Wort eine gute zusätzliche Wahl.

Denn im Regelfall bekommt man ja in kurzer Zeit mit, ob eingebrochen wurde und dann hat man denke ich noch genug Zeit um selber die Wallet zu sichern, bzw. die Bestände zu verschieben, bevor der Dieb irgendwann tatsächlich mal auf das 25. Wort kommt.

2 „Gefällt mir“

Sagen wir mal so: wenn der Einbrecher sich nicht besonders auskennt, wird er nicht auf die Idee kommen. Wenn er sich mit Bitcoin und IT ein wenig auskennt, wird er deine 24 Wörter in eine entsprechende Software packen die eine einfach gehaltene Passphrase in ein paar Sekunden findet und deine Coins sind weg. Vor diesem Fall schützt dich nur eine starke Passphrase.

2 „Gefällt mir“

selbst wenn das 25. Wort aus drei leerzeichen bestünde würde er da niemals drauf kommen…

OK wow, ist das mit den Sekunden übertrieben oder geht das wirklich so schnell?

Ist nicht übertrieben. Ein Seed / Passphrase recovery tool bruteforced das in ein paar Millisekunden. Kann mehrere 10.000 Möglichkeiten pro Sekunde testen.

1 „Gefällt mir“

Genau. Diese Dinger probieren einfach unfassbar viele Kombinationen in kürzester Zeit. Dem kannst du nur entgegenwirken, indem du ein so kompliziertes Passwort verwendest, dass man selbst mit dieser Methode tausende oder millionen von Jahren brauchen würde.

Deswegen ist auch eine Seedphrase mit 24 Wörtern so sicher. Theoretisch müsste man ja „nur“ zufällig die richten 24 Wörter finden (und das sogar aus einer vordefinierten Liste mit „nur“ 2048 Wörtern). Aber das ergibt eine so gigantische Zahl an möglichen Kombinationen, dass es quasi unmöglich ist, per Zufall draufzukommen.

Eine starke Passphrase sollte mindestens aus 12-13 Zeichen bestehen und keine ganzen Wörter etc. beinhalten, sondern eine Kombination aus Groß/Kleinbuchstaben, Zahlen und Sonderzeichen. Als Eselsbrücke kann man sich beispielsweise einen Satz überlegen, den man sich gut merken kann, und davon dann jeweils den ersten Buchstaben von jedem Wort nehmen und wie gesagt auch Zahlen und Sonderzeichen einbauen.

ja, der klassische 08/15 Einbrecher ist in der Regel kein Computer-Nerd der unmittelbar nach dem Bruch mit irgendwelchen recoveryTools hantiert.

Von daher wäre ein einfaches 25. Wort immernoch sicherer als garkeins.

Am Ende muss man also abwägen was wahrscheinlicher ist, entweder ich vergesse mein hochkomplexes 25. Wort oder es kommt zu dem Fall, das bei mir eingebrochen wird + Dieb findet meine Wörter + Dieb schöpft verdacht auf Existenz eines 25. Wort + Dieb ist zudem noch IT-Nerd.

4 „Gefällt mir“

Ich mag die Idee auf der Wallet mit den 24 Wörtern ein paar Sats zu lagern (z.B. 1/100 deiner BTC) und auf der Wallet mit den 24 Wörtern + der Passphrase dann das echte Vermögen. (99/100)

Des Weiteren kann man sich noch vor einer $5 Wrench Attack schützen, indem man:

  1. Nicht über seine Bitcoin spricht unter echtem Namen (das ist am wichtigsten)
  2. Keine Fussspuren für andere zugänglich macht. (z.B. Kontoauszüge welche nachweisen das du viel BTC hast)
  3. Deine Hardware Wallet und die zugehörigen Programme auf dem Handy/PC nicht mit deinem echten Vermögen gekoppelt sind, sondern zB wie oben angegeben mit dem 1/100stel Vermögen. Das lässt sich dann auch trotzdem einfach hochrechnen, wenn du immer mal wieder gern auf den Kontostand schaust.

PS: Über einen normalen Einbruch (also ohne das dich jemand bedroht) würde ich mir gar keine Gedanken machen, sofern deine Wörter z.B. im Mauerwerk versenkt liegen.

2 „Gefällt mir“

Hab erst grad gelernt das 12 Wörter absolut gesehen genügen. Auch gedacht 24 Wörter seien sicherer als 12. Zudem sind 12 Wörter weniger fehleranfällig was das Backup betrifft.

Was die Passphrase betrifft, klar Mega kompliziert - aber - wir vergessen uns selber als potenzielle Fehlerquelle. Bin selber in der Multisig Test Phase. Habe mehrere Wallets und alle mit (unnötig 24 Wörter) dazu Passphrasen, diese aber relativ einfach 9 Zeichen lang gehalten.

Eigentlich müsste ich alle Wallets neu aufsetzen. Dazu müsste es mindestens 3 Wochen lang regnen.:face_holding_back_tears:

1 „Gefällt mir“

Genau das habe ich hier vom Bruce Video. Der Angriff erfolgt nicht auf die 24 Wörter aka 256 Bit sondern auf den langen Code der durch den Seed erzeugt wird. Dazu braucht es 128 Bit ergo 12 Wörter genügen.

Aber klar ist auch egal was, wenn jemand die Seed Wörter findet - ist aus die :mouse_face:

Naja das kannst du ja nicht wissen wie der Angreifer agiert. Bruce weiß das auch nicht. Ein Angriff kann auf alle möglichen Methoden erfolgen, auch direkt auf die Wörter. Besonders wenn er vielleicht weiß (oder vermutet) dass du nur 12 Wörter hast.

Ich habe aus dem Video verstanden dass 12 Wörter die 128 Bit erzeugen und die lange Zahlen Buchstaben Reihe generieren. Der Angriff kann auf die 12 oder 24 Wörter erfolgen. Dabei kann man bei den Wörtern eher von Diebstahl ausgehen oder social Engenieering, Phising… Was die wir Wörter betrifft ist es klar eine höhere Zahl ergo 256 Bit die aber im BTC Verschlüsselungscode so nicht gebraucht wird.

Daher machen 12 Wörter Sinn. Sinn deshalb, weil man weniger aufschreiben ergo Fehler machen kann. Zudem 12 Wörter kann man besser auswendig lernen. Ich wenigstens. :face_holding_back_tears:

Aber wie erwähnt, habe überall selber 24. :flushed_face:

Hängt eben davon ab wie man den Angriff startet. Setzt man direkt auf die Wörter, ist es natürlich einfacher wenn nur 12 Wörter benutzt werden.
Diebstahl oder Social Engeneering ist ja wieder ein anderes Thema, da ist es egal wieviel Wörter verwendet werden.

1 „Gefällt mir“