Wenn es um einen zweiten Faktor gehen soll, dann gibt es dafür standardisierte Methoden die auch einen echten zweiten Faktor bieten:
- Optionale Passphrase („25. Wort“) - Braucht man das wirklich?
- Multisig & Mnemonic Split - Sicherheit für Fortgeschrittene - Blocktrainer
Das Passwort ist kein zweiter Faktor, sondern eine reine Zeitverzögerung. Du spielst damit nur darauf aus dass der Angreifer noch nichts vom Cloud-Backup weiß – er hat aber bereits vollen Zugriff.
Eine optionale Passphrase hingegen ist ein echter zweiter Faktor, standardisiert mit allen gängigen Wallets verwendbar und ein Angreifer kann mit einem der Backups nichts anfangen, selbst wenn er von deinem Sicherheitskonzept weiß.
Wenn du auf deine Cloud-Lösung bestehst (auch wenn ich davon abraten würde) kannst du sogar die optionale Passphrase in einem Cloud basierten Passwort Manager speichern.
Aber wie gesagt: Mehr Sicherheit vor Backupverlust hast du damit nicht, da du am Ende immer dein offline Backup hast an dem alles hängt. Die andere Möglichkeit wäre deshalb die offline Backups aufzuteilen und gegen Verlust zu sichern, z.B. durch einen 2/3 Mnemonic Split oder Multisig.
Ersterer ist einfach umzusetzen aber mit Entropieverlust verbunden, letztere ist Bombensicher aber komplizierter in der Handhabung… Deswegen:
… gibt es nicht. Sicherheit ist ein reiner Balanceakt, man muss ständig Kompromisse eingehen, die „perfekte“ Lösung gibt es nicht und wird es nie geben. 