Wo lagert Ihr eure Mnemonic?

Jetzt nicht mehr…

Ich sehe schon die clickbaits im Einbrecher-Forum: „Dieses Versteck wird Sie überraschen…“

Die sind bei einem schrecklichen Bootsunfall bei Dresden in die Elbe gefallen. War ein sächsistisches Bööt, ist gegendert.

Aha. Wieso nicht? Falls du dein Haus auf dein Grund und Boden gebaut hast, gehste danach mit einem Metalldetektor drüber… bei einer Wohnung mit mehreren Parteien gebe ich dir teilweiße recht. Dann könnte es schwieriger werden.

Keine gute Idee. Das machen doch schon die Leute, die Gold besitzen. Und es gibt wie gesagt Metalldetektoren und Diebe

Das fände ich ziemlich respektlos, sowas würde ich nur mit Shitcoins übers Herz bringen.

Das Sichere Verwahren von Geheimnissen ist ja nun auch keine neues Problem.

Hier also eine „weitere“ Idee, seine Seeds aufzubewahren: Passwortmanager

Begruendung:

• Dafuer sind sie da

Vorteile:

• Die Aufgabe der Sicherheit wird durch einen eigenen Layer / Abstraktionsschicht gewaehrleistet.
• Die Sicherheit der Geheimnisse beruht auf einem bewaehrten System. Es muss sich nicht jeder selbst eine eigene Methode ueberlegen, wie seine Geheimnisse aufzubewahren sind.
• Mit steigender Verbreitung der Passwortmanager steigt auch deren Sicherheit.
• Es koennen beliebig viele Geheimnisse gespeichert werden. Es gibt keine Notwendigkeit, fuer jeden Seed ein neues Versteck zu suchen.
• Einfach fuer Erben: URL, cloud-Passwort und 2FA-Passwort uebergeben (gerne getrennt) und schon haben die Erben einen Ueberblick auf alle Konten/Zugaenge/Kontakte/Wallets/Testamente/Dokumente - Sie werden dankbar sein in ihrer Trauer, eine Schnitzeljagt bleibt ihnen erspart

Moegliche Bedenken:

• Passwortmanager ist nicht sicher genug: Also der Job von Passwortmanagern ist gerade die Sicherheit. Sollte das wirklich jede Normalperson besser koennen?
• Dann ist ja alles an einem angreifbaren Ort: Das ist das Prinzip vom Schluesselbund.
• Mein Computer koennte gehackt werden: Dann sollte man sich ueberlegen, ob man denn ueberhaupt seinem Computer vertraut, mit dem man taeglich online-banking , email etc. macht.
• Trotzdem nicht sicher genug: Dann brauchen wir bessere Passwortmanager - vielleicht sogar mit Secure-Element?

Allgemeine Ueberlegungen:
Im Allgemeinen sollte man sich ueberlegen, welche Angriffsszenarien es gibt.
Alle mir bekannten Angriffe fallen in eine der folgenden Kategorien:

1. Verlust
2. Diebstahl
3. Kidnapping

Eine Stahlplatte hilft da im Vergleich zu einem Zettel gar nicht weiter: Beides kann man verlieren oder es kann einem geklaut werden.

Mehrere verteilte Stahlplatten oder Zettel hingegen schuetzen vor Kategorie 1. Ein Verlust des Geheimnisses ist dann beliebig unwahrscheinlich. Dafuer scheint aber der Diebstahl wahrscheinlicher geworden zu sein. Allerdings kann man sich mit Verschluesselung auch vor Kategorie 2 schuetzen - Stichwort MultiSig.

Von dieser Idee würde ich jedem nur abraten.
Genau wie z.B. Foto der Wörter auf dem Smartphone usw.

Der Sinn von Passwortmanagern ist in erster Linie ein
Trade-off von Usability und Sicherheit.

Nein. Passwortmanager sind sicherlich nicht dafür da um eine Mnemonic zu sichern. Bei Hot Wallets ist das in Ordnung (finde ich), aber du digitalisierst damit doch dein Backup auf einem Rechner mit Internet, also genau das was man mit einer Hardware Wallet eigentlich vermeiden will! Effektiv machst du mit diesem Schritt aus deiner Wallet eine Hot Wallet!

Bei synchronisierenden Managern wie Bitwarden oder 1Password lädst du deine Backups sogar noch hoch! Fast alle Manager sind außerdem closed-source und verlangen zusätzliches, vermeidbares, Vertrauen.

Deine Mnemonic wird dann außerdem regelmäßig entschlüsselt, nämlich immer wenn du deinen Vault entsperrst und nutzt.

Außerdem musst du deine Mnemonic erstmalig eintippen, was zusätzliche Risiken mit sich bringt, z.B. durch Keylogger.

Du gewinnst damit nicht wirklich etwas. Das Master Passwort des Managers ist dann übrigens dein neues Backup, was du ja wieder analog irgendwie absichern musst.

→ Man kommt um ein sicheres offline Backup nicht herum und es ergibt auch keinen Sinn aktiv zu versuchen darauf zu verzichten.

Threads dazu:

• Verschlüsseltes Seed Backup in der Cloud

Passwort-Manager benutzt man nur offline. Bitcoin gehören da nicht rein, denn die Datei könnte durch einen Cyberangriff gestohlen werden.

Ich verstehe diese ewigen Diskussionen über PW Manager und/oder Cloud Sicherung auch nicht. Auch wenn du sehr ausführlich argumentiert hast, @apia.

Bei Software Wallets ist das ja wie @sutterseba sagt ok.

Bei Cold Wallets gibt es ein schlagendes Argument, nämlich das hier:

Alleine dieses Argument macht doch jede weitere Diskussion obsolet!?

Jede Methode, bei der ein Mnemonic mithilfe eines einzelnen Masterpassworts oder Hinweises verschlüsselt wird, macht keinen Sinn.

Man benötigt wie erwähnt immer noch ein analoges Backup. Vor weiteren Diskussionen bitte zuerst einmal dieses Argument entkräften.

Zusätzlich verringert man auch noch die Sicherheit, falls das Masterpasswort bzw. die Hinweise keine 256 Bit Sicherheit haben.

Falls man doch 256 Bit haben sollte, muss man entweder eine sehr lange kryptische Zeichenkette sichern, oder sehr lange Sätze bzw. Wortkombinationen. Manche PW Manager bieten ja auch schon Mnemonics an.

Falls man keine „heißen“ Endgeräte verwenden möchte, nutzt man z.B. einen Yubikey.

Was hat man also am Ende gewonnen? Den meisten sollte auffallen, dass genau diese ganzen Gedanken doch schon in den BIPs stecken.

Ich überlege meine 12 Wörter einfach auswendig zu lernen, sollte doch möglich sein.
Ein Backup wollte ich dann auf meinem Bienenstand unter meinem aggressivsten Volk verstecken
VG

Zusätzliches Auswendiglernen kann nie schaden. Nur für den Fall der Fälle.

Absolut. Zeichne deine Seed mit der Hand auf ein Blatt Papier. Bild für Bild. Die einzelnen Bilder in einander überfliessend das kann gerne sehr albern sein, umso leichter merkt man es sich. Dann geh die Geschichte immer wieder von vorne durch. Wie ‚Ich packe meinen Koffer‘. Nach max. 1 Std (bei 24 Wörtern) Brauchst Du das Bild nicht mehr. Gehe Die Story immer wenn Du nen Moment hast im Kopf durch. Auch mal rückwärts. Erst täglich, dann auch ruhig seltener. Es macht auch Spass den Partner mit einzubeziehen, man muss nicht mal sagen was es ist, einfach als kleines Memoexperiment verkaufen. Funktioniert und gibt einem ein wohliges Gefühl von Sicherheit.

Nur wenn der Partner nicht dumm ist und auch langfristig bei einem bleibt …
Und wenn natürlich in keinem Fall jemand mithören kann.

Die Paarübung ist sicher nicht schlecht. Aber ganz ehrlich. Meine Frau würde mir einen Vogel zeigen.

Meiner Meinung nach: lass’ es, denn es ist unnötig, da du sowieso ein physisches Backup am besten auch noch mit örtlicher Redundanz haben solltest. Dann kannst du dir das Auswendiglernen auch sparen.
Auswendiglernen allein ist viel zu riskant. Keine Frage, daß man das auswendig lernen kann, aber du musst es auch regelmäßig wiederholen und überprüfen, ob es richtig war. Dazu brauchst du ein Backup, womit das Auswendiglernen dann wieder unnötig ist und keinen Vorteil bringt.
Von Vergessen/Verlust durch Unfall, Krankheit oder Ableben fange ich mal garnicht erst an.

Wenn das Bienensterben sich ausweitet, dann werden deine Völker evtl. begehrtes Diebesgut. Möchtest du auf diese Weise ggf. deine Mnemonic Wörter verlieren? Ein Imker-Schutzanzug ist ja nun wirklich kein Hindernis, auch wenn das Versteck zunächst mal nicht offensichtlich ist. Meines Erachtens ist das eine Art von Pseudosicherheit, aber des Menschen Wille sei sein Himmelreich.

Dann muss es Bienendrohnen für „maschinelle“ Bestäubung oder sowas geben, denn sonst brauchen wir uns um BTC auch keine Sorgen mehr machen.
Die Drohnen können dann Laseraugen zur Verteidigung der Phrases kriegen

Klar, versteht sich von selbst.

Physische Backups machen Auswendiglernen nicht unbedingt unnötig. Es ist wie so oft eine Frage deines Threat Models.

Vor einiger Zeit kam man sich im Forum noch etwas komisch vor, wenn man mögliche Bedrohungsfälle auf die Spitze getrieben hat.
Aber der Ukraine Krieg bestärkt mich darin, dass man auch den Fall berücksichtigen sollte, in dem man keinen Zugriff mehr auf die Backups hat (z.B. schnelle notwendige Flucht, wenn man nicht zuhause ist), oder in dem einen Backups abgenommen würden.

Ich würde ehrlich gesagt jedem mit etwas mehr auf der Wallet empfehlen, die Wörter zusätzlich auswendig zu lernen.

P.S.: Genauso kann es übrigens Sinn machen (je nach Threat Model), physisch nur auf Papier zu sichern, da man dieses (bei möglichem Zugriff) im Ernstfall schnell vernichten könnte. Hatten wir hier mal diskutiert.

Ich wage zu behaupten, dass wenn du beim ersten Luftalarm losläufst, deine auswendig gelernten Wörter schon vergessen hast. Notfallrucksack, Steelwallet rein, los!

Kann gut sein. Man unterschätzt solche Stresssituationen wahrscheinlich massiv. Trotzdem auswendiglernen und hoffen, dass man es nicht vergisst, schadet aber nicht.

Ich möchte eigentlich nur klar machen, dass müssen nicht mit können, und ausschließlich nicht mit zusätzlich verwechselt werden sollte, wie es beim Auswendiglernen aber oft der Fall ist.

Da bin ich eben nicht so sicher, da man dir dein Backup dann jederzeit wegnehmen kann, oder du es verlieren kannst.

Dafür müsste man so eine Fluchtsituation besser einschätzen können. Falls das halbwegs „zivilisiert“ abläuft, ist deine Lösung gut. Ansonsten eher nicht.

Ich tendiere ja dazu, nur noch auf Papier zu sichern und zusätzlich auswendig zu lernen.