Wieso ist eine Passphrase nur "sehr" sicher?

genau genommen ist die wallet mit dem 25 wort bombensicher

niemand, nichtmal quantencomputer würden je den seed herausfinden können. ungeachtet dessen, wie wir schon alle wissen, gibts mehr atome auf der erde, als seeds in der blockchain.

und wenn mal wer die 24 wörter durch zufall je finden sollte, dann hat man trotzdem weiterhin eine voll funktionierende ultrasichere wallet mit den 25ten wort im hintergrund.

also wieso sagt man zum 25ten wort, dass es nur „sehr“ sicher ist auf youtube vids ?

oder hab ich nen denkfehler?

Ganz einfach. Du könntest das Wort verraten im Suff oder es könnte dir Jemand das 25 Wort abpressen mit Gewalt oder Drohungen aller Art. Also ist das 25 Wort nur „sehr“ sicher, aber es stellt eben keine ultimate Sicherheit dar. So wird es gemeint sein. Rein technisch ist es vermutlich bombensicher, weil (noch nicht) errechenbar…

Die Passphrase bietet z.B. einen Schutz gegen Diebstahl der 24 Wörter, oder gegen Betrug eines HW Wallet Herstellers, aber keinen zusätzlichen Schutz gegen Erraten deiner Keys (Brute Force).

Wenn du z.B. aus einer Seed Phrase mit 24 Wörtern, d.h. 256 Bit Entropie, die Bitcoin Private Keys dieser Wallet ableitest. Dann hat jeder dieser Private Keys 256 Bit, d.h. die Wahrscheinlichkeit ist vernachlässigbar, einen dieser Keys durch Probieren zu erraten, oder dass zwei Personen denselben Private Key haben.

Wenn du nun zusätzlich zu den 24 Wörtern eine Passphrase verwendest, erhältst du andere Private Keys. Aber jeder dieser Private Keys hat immer noch „nur“ 256 Bit, obwohl dir mit der Passphrase eine höhere Ursprungsentropie zur Verfügung stehen würde. Das heißt die oben genannte Wahrscheinlichkeit ist immer noch vernachlässigbar, aber eben auch nicht noch kleiner als vorher.

Ich denke auch nicht, dass jemand versuchen würde, die 24 Wörter zu erraten.

schön und gut aber gemäß der annahme, ich lass die 24er hauptwallet leer, und füll nur die 25er mit coins, dann würd man nichtmal auf die idee kommen, weiter zu recherchieren ob was drauf ist und eher davon ausgehen dass es sich um eine jungfräuliche wallet handelt.

deswegen versteh ich das brute force argument nicht ganz

Ich weiß nicht wie ein Dieb wirklich tickt. Aber wenn ich so etwas machen würde, dann würde ich bei leeren Wallets erst recht nach einer Passphrase suchen.

Deshalb sollte die normale Wallet nicht leer sein. Und die Passphrase muss ausreichend komplex sein.

Wenn du übrigens Coins von der normalen Wallet zur Passphrase Wallet transferierst, kann das auch jeder auf der Blockchain sehen. Du solltest also überlegen, ob du die Coins z.B. über eine Börse dorthin transferierst. Dann könntest du (rein theoretisch) behaupten, du hättest sie verkauft.

Natürlich funktioniert das alles nicht, wenn dich jemand bedroht. Deshalb ist das mit der Plausible Deniability so eine Sache. Die Passphrase hilft aber trotzdem als Diebstahlschutz.

Meine Gedanken dazu hatte ich HIER auf mehr oder weniger verständliche Weise festgehalten. :roll_eyes:

Damit wollte ich nur erklären, dass eine Passphrase dir keine weitere Sicherheit im Hinblick auf Erraten deiner Wallet Private Keys verschafft. Wenn jemand mit Brute Force Private Keys durchprobiert, ist die Wahrscheinlichkeit deines Keys zu finden mit oder ohne Passphrase gleich.

Wenn jemand 24 Wörter mit Passphrase suchen würde, dann hättest du im Hinblick darauf mehr Sicherheit. Aber u.a. wegen einer möglichen Passphrase und weiteren Argumenten, würde ich gar nicht nach den Wörtern suchen, sondern direkt nach Private Keys (siehe mein Link im letzten Beitrag).

Du hattest gefragt, warum eine Passphrase nicht bombensicher ist, und hast über das Herausfinden mit Quantencomputern gesprochen. Ich wollte erklären, dass dir eine Passphrase ausschließlich mehr Sicherheit gegen Diebstahl oder Hersteller-Betrug verschafft.

1 „Gefällt mir“

ja, ich verstehe jetzt besser.

ich dachte nur bis jetzt, dass es ein wesentlicher unterschied ist, zwischen:

.) fix vorgegebenen wörtern aus einer liste aus 2400 (?) den seed zu finden

gegenübergestellt

.) obigen 24 wörtern + einer seedphrase, die nicht vorgegeben ist.

es ist also kryptographisch egal wieviele worte es sind ? beute forcen könnte man irgendwann also immer ?

diese fix vorgegebenen wörter hatten mich in die irre geleitet.

Das ist eine wahre Aussage, aber ziemlich sinnbefreit. Es gibt auch mehr Atome auf der Erde, als ich Haare am Arsch hab.

Ich weiß nicht, was diese Videos genau sagen, aber ich könnte mir vorstellen, dass sie ca. sowas meinen: Wenn jemand deine Passphrase findet (die Bezeichnung „25. Wort“ dafür ist irreführend), aber deine 24 Wörter nicht hat: immer noch bombensicher. Wenn jemand deine 24 Wörter findet, aber deine Passphrase nicht hat: nur noch so sicher, wie du die Passsphrase gemacht hast, also keine garantierte Entropie.

1 „Gefällt mir“

Wenn man direkt nach den Wörtern sucht, macht es natürlich einen großen Unterschied, ob man 24 Wörter oder 24 Wörter + Passphrase sucht.

Aber nachdem es viel „leichter“ ist, direkt nach den abgeleiteten Private Keys zu suchen, macht die Passphrase keinen Unterschied.

Solange die Private Keys 256 Bit und die Adressen sogar nur 160 Bit Sicherheit haben, würde es in meinen Augen keinen Sinn machen, noch wesentlich mehr als 24 Wörter zu verwenden.

Deshalb habe ich „leichter“ oben in Anführungszeichen gesetzt. Brute Forcen wird auf absehbare Zeit nicht möglich sein.

Auch das habe ich in dem verlinkten Thread veranschaulicht.

2 „Gefällt mir“

frage, würde die sicherheit kryptographisch weiter erhöht werden, wann man mehrere passphrase wallets auf einer hauptwallet streut oder ist das auch egal vom gesamt - sicherheitsaspekt her ?

Gegenüber einem Dieb, oder jemandem der dich bedroht, oder gegen Verlust der Passphrase würde das die Sicherheit vielleicht erhöhen.

Es bleibt aber dabei, dass es bei Bitcoin 2^256 Private Keys und 2^160 Adressen gibt. Wenn du deine Coins auf mehrere Adressen verteilst, ist es bzgl. kryptographischer Sicherheit egal, wie du zu diesen gekommen bist.

1 „Gefällt mir“

wieso kommt kein proposal, das wallet system noch sicherer zu machen. oder ist das aktuelle system stand der technik? ich bin jetzt ein wenig verunsichert mit dem neuen wissen, dass es nach wie vor möglichkeiten gibt, trotz passphrase ran zu kommen.

danke übrigens für deine geduld und fundiertes wissen

1 „Gefällt mir“

Ich habe eigentlich versucht deutlich zu machen, dass auch im aktuellen System die kryptographische Sicherheit so unglaublich hoch ist, dass es absolut keinen Grund für eine Verbesserung gibt.

Nur weil die Passphrase diesen Aspekt von Sicherheit nicht noch weiter erhöht (von unglaublich auf super unglaublich) heißt das nicht, dass es schlecht ist.

Rechtzeitig vor den Quantencomputern werden die kryptographischen Methoden dann schon angepasst werden. Daran forscht man bereits seit längerer Zeit.

3 „Gefällt mir“

Hallo. Eine kurze Verständnisfrage.

Sollte jemand die 24 Wörter finden und ahnen, dass es eine Passphrase gibt, ist die Brute-Force-Attacke dann genau so leicht wie die bei einem Passwort?

Beispiel: Passphrase lautet „Auto“. Dann ist diese in unter einer Sekunde zu ermitteln?

Sollte man dann die Passphrase genau so sicher gestalten, wie ein normales Passwort auch?

LG

Nein, es ist mit viel mehr Arbeit verbunden. Für jede Mnemonic Passphrase, damit meine ich die optionale 25. Passphrase, musst du viele Operationen ausführen, bis du zu den Adressen der zugehörigen Wallet kommst. Dann musst du in der Blockchain nachsehen, ob diese generierten Adressen schon jemals Transaktionen hatten bzw. auch noch Funds halten.
Das kostet wesentlich mehr CPU-Zyklen als das Knacken von Passwörtern.

Einzelne Wörter aus Wörterbüchern verbieten sich praktisch von selbst. Im Grunde genommen auch die einige hundert Millionen bisher geleakter Passwörter und Passphrasen, die z.B. https://haveibeenpwned.com aus Leaks und Breaches gesammelt hat.

Mindestens! Definiere doch bitte, was du unter einem normalen Passwort verstehst. Wenn ich mir die Top-100 oder Top-500 der meistgenutzten Passwörter ansehe, muss ich an den kognitiven Kapazitäten der User extrem zweifeln.

Länge und keine triviale Erratbarkeit und am besten alle vier Zeichengruppen sollten vertreten sein. Ich würde mal eine Mindestlänge von 16-20 ansetzen, besser mehr. Besser auch Nix, was sich aus deinem persönlichem Umfeld ergibt. Schwierig hier Tipps zu geben, muss jeder selber 'was finden.

Ich verweise mal Richtung: 936: Password Strength - explain xkcd

1 „Gefällt mir“

Das kommt aber auch wieder komplett auf den praktischen use case an. Wenn du merkst das dein seed gestohlen wurde tickt ab dem zeitpunkt die Uhr und du musst deine coins auf eine neue wallet transferieren. Mit über 8 zeichen sollte das locker mehrere Wochen dauern.

Viel wichtiger ist also die passphrase als zweiten faktor zu betrachten. Er bringt erst mal nicht mehr Sicherheit wenn du ihn mit den Wörtern zusammen lagerst. Aber du musst auch aufpassen das du deine passphrase nicht vergisst bzw. Im falle das dir was passiert jemand anderes (falls gewünscht) darauf zugreifen kann.

Ich persönlich finde multi sig besser als passphrase auch wenn das initiale setup erst mal schwieriger ist hast du im „laufenden betrieb“ weniger fehlerquellen.

1 „Gefällt mir“

Ich muss hier nochmal nachhaken, da ich sonst nirgends eine Bestätigung dafür gefunden habe.

Ist diese Aussage wirklich korrekt? Kann das jemand verifizieren?

Mich stört da ja schon das Mnemonic optionale Passphrase Wortgemische.

Wieso sollten irgendwelche Zyklen notwendig sein?

Unter Annahme, dass ich den Seed kenne kann ich mir eine beliebige Softwarewallet schnappen und eine Wallet mit Passphrae wiederherstellen.

Sicher lässt sich dafür Code schreiben bzw. solcher Code existiert ja auch schon.

Die Adressen leitet die Software ja selbst ab.

Im Prinzip heißt es jetzt nur, dass der Code schauen muss „befinden sich auf den ersten 20 Adressen UTXOs“ → falls ja → Jackpot.

Falls nein, repeat. Wiederherstellen → neue Passphrase ausprobieren.

Eine Passphrase sollte also ausreichend sicher gewählt werden. Das heißt, sie muss mir im Falle eines kompromittierten Seeds ausreichend Zeit verschaffen, sodass ich meine Funds an Adressen eines neuen Seeds transferieren kann.

1 „Gefällt mir“

Ok, und dauert dieses Ausprobieren länger als bei einem Passwort?

Seltsam. Das Thema wurde gerade in letzter Zeit hier wieder relativ oft diskutiert.

Die Passphrase IST ein Passwort, mit dem du deine Wallet zusätzlich gegen Diebstahl der Seedphrase (12 oder 24 Wörter) sicherst. Es gelten also auch exakt dieselben Regeln wie für Passwörter.

Je länger die Passhphrase ist und je mehr unterschiedliche Zeichen zugelassen werden, desto sicherer ist sie. Eine kürzere Länge kann man mit mehr zulässigen Zeichen kompensieren und andersherum.

Ich würde also entweder eine komplexe Zeichenkette im Bereich 12…20 Zeichen wählen, oder eine längere Aneinanderreihung von einfachen Wörtern. Ersteres ist evtl. schneller einzugeben. Letzteres kann man sich evtl. besser merken. Das ist auch ein bisschen subjektiv.

Es gibt 94 übliche Zeichen. Das sind 26 Großbuchstaben, 26 Kleinbuchstaben, 10 Ziffern und 32 Sonderzeichen. Genau diese findest du auch auf jeder Tastatur.

Wenn du diese alle zulässt gilt folgendes:

Eine Passphrase mit 8 zufälligen Zeichen bietet eine Sicherheit von ca. 50 Bit.
Eine Passphrase mit 12 zufälligen Zeichen bietet eine Sicherheit von ca. 80 Bit.
Eine Passphrase mit 20 zufälligen Zeichen bietet eine Sicherheit von ca. 128 Bit.

Die Bit sind ein logarithmisches Maß dafür, wie viele Versuche man durchprobieren müsste. Bei 50 Bit muss man ca. 2^{50} = 1125899906842624 \approx 10^{15}, also eine Billiarde mal probieren. Im Vergleich bieten z.B. ein Bitcoin Private Key oder eine 12-Wort-Wallet eine Sicherheit von 128 Bit.

8 Zeichen sind nach heutigen Maßstäben zu wenig. Insbesondere wenn man nicht merkt, dass die Seedphrase gestohlen wurde und der Angreifer viel Zeit hat.
Nur wenn man sein Backup blickdicht in einer Hülle sichert, bei der man ein Öffnen feststellen kann, und wenn man dieses Backup alle paar Wochen oder Monate prüft, sind 8 Zeichen genug. In diesem Fall würde man nämlich die verfügbare Zeit eines Angreifers begrenzen. Ich würde mich aber nicht darauf verlassen.

12 Zeichen sind meines Erachtens ok. Der Aufwand für das Durchprobieren wäre so hoch, dass es nicht nur lange dauert, sondern insbesondere auch viel kostet. Wenn der Angreifer also nicht, weiß, dass du ein riesiges Vermögen auf deiner Wallet hast, wird er nichts tun. Das ändert sich allerdings jedes Jahr. In 20 Jahren sind 12 Zeichen evtl. schonzu wenig.

20 Zeichen bieten die maximale sinnvolle Sicherheit. Hier müsste man in der gleichen Größenordnung von Versuchen durchprobieren, wie wenn man einen Bitcoin Private Key oder eine 12-Wort-Wallet knacken möchte. Das ist meine Empfehlung um auf Nummer sicher zu gehen.

Wenn du die Zeichen nicht zufällig wählst, sind diese ganzen Angaben hinfällig und du verringerst die Sicherheit enorm.

Allgemein zum Thema:
Wallet-Backups: Ein Überblick über verbreitete Strategien
Aufwand um einen Seed zu bruteforcen wenn x Wörter vorhanden sind? - #10 von skyrmion

2 „Gefällt mir“

Als Parole beim Bund wurden immer zwei beliebige Worte ohne Sinn aneinander gehängt.
Fisch + Brause = Fischbrause
Bestimmt in keinem Lexikon zu finden.