Punkten 1-3 stimme ich zu.
Wobei ich persönlich (!) z.B. bei der Passphrase noch mehr Zeichen verwenden würde, so um die 20. Sichern muss man sie ja sowieso.
Ja, das löst in der Tat immer wieder Unbehagen aus. 
Den Grund hat u.a. @Makowski oben genannt: Der Mensch kann sich solche großen Zahlen nicht vorstellen. Deshalb vertraut man auf Anhieb auch keiner noch so kleinen Wahrscheinlichkeit.
Versuche aber einfach mal einen Vergleich zum täglichen Leben herzustellen. Die Wahrscheinlichkeit im Straßenverkehr einen Unfall zu haben, während man gleichzeitig vom Meteoriten getroffen wird und im Lotto gewinnt, ist um viele Größenordnungen größer, als den gleichen Seed wie jemand anderes zu erhalten. Trotzdem geht man „lebensbedrohliche“ Risiken wie den Straßenverkehr oder raus zu gehen jeden Tag ein.
Milliarden entsprechen einer Eins mit 9 Nullen. Wenn jeder mehrere Wallets hat und wir viele Generationen von Menschen haben, dann landest du vielleicht bei einer Eins mit 12 Nullen oder 15 Nullen… alles egal.
Die Anzahl an möglichen Wallets bzw. Adressen hat, je nachdem wie du rechnest, mindestens 48 Nullen. Also ist diese Zahl um den Faktor 1 Milliarde Milliarden Milliarden größer.
Entscheidend ist jedoch, was @renna glaube ich oben erwähnt hat:
Der Seed muss wirklich zufällig erzeugt werden!
Wenn eine Hardware Wallet schlecht gebaut wäre, z.b. mit einem einfachen Zufallszahlen-Generator (Pseudo Random Number Generator = PRNG), dann wäre die Wahrscheinlichkeit am Ende wesentlich größer, dass zwei Leute den gleichen Seed erhalten.
Dagegen helfen nur sehr gute Zufallszahlengeneratoren (True Random Number Generator = TRNG). Oder, wenn man dem Hersteller nicht vertrauen möchte, den Seed selbst zu würfeln, oder eine Passphrase zu verwenden. Dein Argument ist also richtig, wenn du dem RNG der Hersteller nicht vertraust.
Beim Würfeln würde ich auch aufpassen, dass man einen korrekten Weg wählt. Siehe z.B. HIER oder HIER.
Nein. Am Ende gibt es bei Bitcoin „nur“ eine Anzahl von 2^{160} \approx 10^{48} Segwit Adressen mit zugehörigem Schlüssel. Also eine Eins mit 48 Nullen.
Die Anzahl an möglichen 24 Wörtern und Passphrases ist sehr viel größer, auf jeden Fall größer als 2^{256} \approx 10^{77}. Aus diesen Wörtern plus Passphrase werden am Ende die Adressen und zugehörigen Schlüssel berechnet.
D.h. unabhängig davon, wie stark du deine Anzahl an Eingangsmöglichkeiten erhöhst: Du landest am Ende immer bei gültigen Adressen und Schlüsseln, wirst also in die begrenzte Anzahl von 2^{160} hineingequetscht. Das hatte ich oben mit dem Schubfach-Prinzip beschrieben.
Da du mit 24 Wörtern ohne Passphrase schon 2^{256} Möglichkeiten hast, wirst du damit schon näherungsweise den kompletten möglichen Adressraum abdecken.
Aus dieser Perspektive macht eine Passphrase also keinen Sinn. Sehr wohl aber aus den anderen genannten Gründen.
Das kommt daher, dass zwar ein Teil von uns einen naturwissenschaftlichen oder technischen Hintergrund besitzt, evtl. auch mal eine Kryptographie Vorlesung gehört hat, aber wir sicher keine Kryptographie-Experten sind.
Ein Experte in solchen Themen wird man nur, wenn man nach dem Studium lange Zeit auf solch einem Spezialgebiet arbeitet.