BIP-39-Passphrase (25. Wort): Erweiterte Wallet-Sicherheit
Die BIP-39-Passphrase, häufig als „25. Wort“ bezeichnet, ist eine der leistungsstärksten und zugleich am häufigsten missverstandenen Sicherheitsfunktionen in Kryptowallets. Sie fügt dem Seed-Ableitungsprozess eine vom Nutzer gewählte Zeichenfolge hinzu, sodass dieselbe Mnemonic-Phrase einen völlig anderen Satz aus Schlüsseln und Adressen erzeugt. Richtig eingesetzt bietet sie zusätzliche Sicherheitsebenen bei einer Kompromittierung der Seed-Phrase. Unachtsam verwendet kann sie zu dauerhaftem Verlust von Geldern führen.
Dieser Leitfaden erklärt genau, wie die Passphrase funktioniert, wann du sie einsetzen solltest, welche Risiken sie mit sich bringt und wie du sie sicher implementierst.
Wie die Passphrase funktioniert
Technischer Mechanismus
Wie im BIP-39-Standard beschrieben, verwendet der Seed-Ableitungsprozess PBKDF2-HMAC-SHA512:
Seed = PBKDF2(
password = mnemonic_words,
salt = "mnemonic" + passphrase,
iterations = 2048,
key_length = 512 bits
)
Wenn keine Passphrase gesetzt ist, ist das Salt einfach die Zeichenfolge "mnemonic". Wenn eine Passphrase angegeben wird, wird sie an das Salt angehängt: "mnemonic" + "YourPassphrase". Da das Salt unterschiedlich ist, ist die PBKDF2-Ausgabe vollständig anders und erzeugt dadurch einen komplett anderen Master-Key und somit vollständig andere Ableitungspfade, private Schlüssel, öffentliche Schlüssel und Adressen.
Wichtige Eigenschaften
Jede Passphrase ist gültig. Es gibt keine Prüfsumme und keinen Validierungsmechanismus für die Passphrase. Jede Zeichenfolge, einschließlich einer leeren Zeichenfolge, eines einzelnen Zeichens oder eines 500-Zeichen-Satzes, erzeugt eine gültige Wallet. Die Eingabe einer falschen Passphrase erzeugt keine Fehlermeldung; stattdessen wird stillschweigend eine andere (typischerweise leere) Wallet geöffnet.
Gleiche Mnemonic, unterschiedliche Wallets. Eine 24-Wort-Mnemonic mit der Passphrase „alpha“ erzeugt eine vollständig andere Wallet als dieselbe Mnemonic mit der Passphrase „bravo“. Zwischen den beiden Wallets gibt es keine kryptografische Beziehung, die ein Angreifer erkennen könnte.
Groß-/Kleinschreibung und Kodierung sind entscheidend. „MyPassphrase“ und „mypassphrase“ erzeugen unterschiedliche Wallets. Eine Passphrase mit nachgestelltem Leerzeichen unterscheidet sich von einer ohne Leerzeichen. Die Passphrase wird vor dem Hashing mit UTF-8 NFKD normalisiert, darüber hinaus ist jedoch eine exakte Zeichenübereinstimmung erforderlich.
Warum eine Passphrase verwenden
Schutz vor Diebstahl der Seed-Phrase
Wenn ein Angreifer deine 24-Wort-Seed-Phrase stiehlt (aus einem Papier-Backup, einer Metallplatte oder einem kompromittierten Gerät), kann er auf alle Gelder in der Wallet zugreifen, es sei denn, eine Passphrase wurde gesetzt. Ohne die Passphrase sieht er nur die „Basis“-Wallet (die mit einer leeren Passphrase abgeleitet wurde). Deine tatsächlichen Gelder, die in der passphrase-geschützten Wallet liegen, bleiben unzugänglich.
Dadurch wird deine Sicherheit von einem Ein-Faktor-Modell (etwas, das du besitzt: die Seed-Phrase) auf ein Zwei-Faktor-Modell erhöht (etwas, das du besitzt: die Seed-Phrase, plus etwas, das du weißt: die Passphrase).
Plausible Abstreitbarkeit
Da jede Passphrase eine gültige Wallet erzeugt, kannst du mehrere Wallets aus derselben Seed-Phrase führen:
- Keine Passphrase — Eine Köder-Wallet mit kleinem Guthaben.
- Passphrase „alpha“ — Deine Haupt-Wallet mit größeren Beständen.
- Passphrase „bravo“ — Eine sekundäre Wallet für zusätzlichen Schutz.
Wenn du gezwungen wirst, deine Seed-Phrase preiszugeben (der „$5 wrench attack“), kannst du die Seed-Phrase ohne Passphrase herausgeben. Der Angreifer sieht eine echte Wallet mit etwas Guthaben, hat keine Möglichkeit zu wissen, ob zusätzliche passphrase-geschützte Wallets existieren, und könnte mit dem Gefundenen zufrieden sein.
Das wird oft als „Duress Wallet“- oder „Hidden Wallet“-Strategie bezeichnet.
Schutz bei kompromittierter Hardware
Wenn eine Hardware-Wallet eine Lieferketten-Schwachstelle hat (zum Beispiel eine Backdoor im Zufallszahlengenerator), kennt der Angreifer möglicherweise die vom Gerät erzeugte Seed-Phrase. Eine vom Nutzer gewählte Passphrase, die nie in die Hardware-Wallet eingegeben oder von ihr erzeugt wurde, fügt Entropie hinzu, die dem Angreifer fehlt.
So richtest du eine Passphrase ein
Hardware-Wallets
Die meisten großen Hardware-Wallets unterstützen die BIP-39-Passphrase:
Ledger:
- Öffne in Ledger Live die Einstellungen.
- Aktiviere „Passphrase“ unter den erweiterten Einstellungen.
- Es gibt zwei Modi: „Attached to PIN“ (speichert aus Komfortgründen einen Hash auf dem Gerät) und „Temporary“ (muss jedes Mal eingegeben werden).
- Wähle deine Passphrase und bestätige sie.
Trezor:
- Aktiviere in der Trezor Suite die Passphrase-Funktion.
- Bei jeder Verbindung fordert Trezor die Passphrase an.
- Du kannst jede Passphrase eingeben; es wird keine Bestätigung gespeichert.
Coldcard:
- Navigiere im Menü zu Passphrase.
- Gib deine Passphrase auf dem Gerät ein.
- Coldcard zeigt die erste abgeleitete Adresse an, überprüfe, ob sie deinen Erwartungen entspricht.
Software-Wallets
Software-Wallets, die BIP-39-Passphrasen unterstützen, zeigen die Option typischerweise bei der Ersteinrichtung oder beim Import der Seed an. Suche im Einrichtungsablauf nach „Advanced options“, „Optional passphrase“ oder „25th word“.
Eine starke Passphrase wählen
Die Passphrase sollte ausreichend Entropie haben, um Brute-Force-Angriffen zu widerstehen, falls die Seed-Phrase kompromittiert wird:
| Passphrase-Typ | Ungefähre Entropie | Zeit für Brute-Force (ASIC) |
|---|---|---|
| Häufiges englisches Wort | ~10 bits | Sekunden |
| Zufällige 4-Wort-Phrase | ~50 bits | Jahre |
| Zufällige 6-Wort-Phrase | ~75 bits | Millionen Jahre |
| 20+ zufällige Zeichen | ~120+ bits | Wärmetod des Universums |
Empfehlungen:
- Verwende mindestens 4-6 zufällig gewählte Wörter oder 16+ zufällige Zeichen.
- Verwende keine persönlichen Informationen (Namen, Geburtstage, gängige Phrasen).
- Verwende kein einzelnes Wörterbuchwort.
- Nutze nach Möglichkeit einen Passphrase-Generator (wie
diceware), statt selbst eine zu erfinden.
Backup-Strategien für Passphrasen
Die Passphrase ist jetzt Teil deines Wiederherstellungsgeheimnisses. Wenn du entweder die Seed-Phrase oder die Passphrase verlierst, verlierst du den Zugriff auf deine Gelder. Dadurch entsteht eine Backup-Herausforderung: Du musst beide speichern, aber das gemeinsame Speichern hebt den Sicherheitsvorteil auf.
Strategie 1: Getrennte Speicherorte
- Speichere die Seed-Phrase an Ort A (z. B. in einem feuersicheren Tresor zu Hause).
- Speichere die Passphrase an Ort B (z. B. in einem Bankschließfach).
- Ein Angreifer muss beide Orte kompromittieren.
Strategie 2: Auswendiglernen + physisches Backup
- Präge dir die Passphrase ein.
- Bewahre ein verschlüsseltes Backup der Passphrase an einem anderen Ort als die Seed-Phrase auf.
- Falls du handlungsunfähig wirst, stellt das verschlüsselte Backup sicher, dass deine Erben auf die Gelder zugreifen können.
Strategie 3: Shamir's Secret Sharing für die Passphrase
- Teile die Passphrase mithilfe von Shamir's Secret Sharing in Anteile auf.
- Verteile die Anteile auf mehrere vertrauenswürdige Parteien.
- Für die Rekonstruktion sind M-von-N-Anteile erforderlich.
Was du NICHT tun solltest
- Speichere die Passphrase nicht zusammen mit der Seed-Phrase. Dadurch entfällt der Sicherheitsvorteil vollständig.
- Verlasse dich nicht ausschließlich auf dein Gedächtnis. Erinnerung ist fehleranfällig, besonders über Jahre oder Jahrzehnte.
- Verwende keine Passphrase, die du nicht zuverlässig reproduzieren kannst. Groß-/Kleinschreibung, Leerzeichen und exakte Zeichen sind entscheidend.
- Speichere die Passphrase nicht in einem Passwortmanager, der auch die Seed-Phrase enthält.
Risiken und Fallstricke
Risiko 1: Dauerhafter Geldverlust durch vergessene Passphrase
Das ist das größte Risiko bei der Verwendung einer Passphrase. Anders als bei einer Seed-Phrase mit Prüfsumme gibt es keinen Mechanismus, der prüft, ob eine Passphrase „korrekt“ ist. Wenn du sie vergisst, dich auch nur um ein Zeichen vertust oder ein verstecktes Zeichen einfügst (nachgestelltes Leerzeichen, falsche Unicode-Normalisierung), öffnest du eine andere, leere Wallet, und deine Gelder sind dauerhaft unzugänglich.
Minderung: Teste deine Passphrase gründlich, bevor du Gelder sendest. Richte die Wallet ein, überprüfe die erste Empfangsadresse, sende einen kleinen Betrag, stelle aus Seed-Phrase + Passphrase auf einem anderen Gerät wieder her und bestätige den Zugriff auf die Gelder.
Risiko 2: Keylogging bei der Eingabe der Passphrase
Die Passphrase muss irgendwann in die Wallet eingegeben werden. Bei einer Software-Wallet bedeutet das Tippen am Computer, wo Keylogger oder Bildschirmaufzeichnung sie erfassen könnten. Bei Hardware-Wallets mit Eingabe direkt am Gerät (Coldcard, Trezor) wird die Passphrase auf dem Gerät eingegeben, was deutlich sicherer ist.
Minderung: Gib die Passphrase nur auf einer Hardware-Wallet mit On-Device-Eingabe oder auf einem Air-Gapped-Computer ein.
Risiko 3: Komplikationen bei der Vererbung
Die Verwendung einer Passphrase erhöht die Komplexität der Nachlassplanung. Deine Erben benötigen:
- Die Seed-Phrase.
- Die Passphrase.
- Das Wissen, dass eine Passphrase existiert und erforderlich ist.
- Anweisungen zur Verwendung.
Wenn eines davon fehlt, scheitert die Vererbung. Siehe unseren Seed Phrase guide für Nachlassstrategien, die Passphrasen berücksichtigen.
Risiko 4: Trügerisches Sicherheitsgefühl
Eine schwache Passphrase (ein einzelnes häufiges Wort, ein Geburtstag, der Name eines Haustiers) kann per Brute Force geknackt werden, wenn der Angreifer die Seed-Phrase hat. Ein Angreifer mit Seed-Phrase und GPU-Cluster kann Milliarden Passphrase-Kandidaten gegen die bekannte PBKDF2-Funktion testen. Verwende eine starke, zufällig generierte Passphrase.
Risiko 5: Tippfehler bei der Einrichtung
Wenn du eine Wallet mit einer Passphrase einrichtest, die einen unbemerkten Tippfehler enthält, funktioniert die Wallet normal, du empfängst Gelder und führst Transaktionen erfolgreich aus. Wenn du später jedoch aus der Seed-Phrase wiederherstellst und die Passphrase ohne den Tippfehler (oder mit einem anderen Tippfehler) eingibst, erhältst du eine andere Wallet. Deine Gelder sind dann hinter dem Tippfehler eingeschlossen.
Minderung: Stelle die Wallet direkt nach der Einrichtung auf einem anderen Gerät mit Seed-Phrase + Passphrase wieder her und verifiziere, dass exakt dieselben Adressen erscheinen.
Das Missverständnis vom „25. Wort“
Der Begriff „25. Wort“ ist eine vereinfachende Bezeichnung, die irreführend sein kann:
- Die Passphrase ist nicht auf Wörter aus der BIP-39-Wortliste beschränkt. Sie kann jede UTF-8-Zeichenfolge sein.
- Die Passphrase wird nicht als zusätzliches Mnemonic-Wort codiert, sondern als Teil des PBKDF2-Salts verwendet.
- Die Passphrase hat keine Prüfsumme, anders als das 24. Wort der Mnemonic, das Prüfsummen-Bits enthält.
- Eine 12-Wort-Mnemonic kann ebenfalls eine Passphrase haben; nach dieser Logik wäre es das „13. Wort“, dennoch wird „25. Wort“ als allgemeiner Begriff verwendet.
Der technisch korrekte Begriff ist „BIP-39 passphrase“ oder „mnemonic passphrase“.
Verwende das SafeSeed Key Derivation Tool, um zu sehen, wie unterschiedliche Passphrasen aus derselben Seed-Phrase vollständig andere Adressen erzeugen. Gib eine Test-Mnemonic mit und ohne Passphrase ein, um den Effekt zu beobachten. Alle Berechnungen laufen in deinem Browser, es werden keine Daten übertragen.
Passphrase vs. Wallet-PIN vs. Passwort
Diese drei Konzepte werden häufig verwechselt:
| Merkmal | BIP-39-Passphrase | Wallet-PIN | Wallet-Passwort |
|---|---|---|---|
| Was geschützt wird | Seed-Ableitung | Gerätezugriff | Anwendungszugriff |
| Wo gespeichert | Nirgendwo (du merkst sie dir) | Auf dem Gerät | Auf Gerät/Server |
| Änderbar | Nein (erstellt neue Wallet) | Ja | Ja |
| Wenn vergessen | Gelder unzugänglich | Gerät zurücksetzen, aus Seed wiederherstellen | Passwort-Reset |
| Brute-Force-Ziel | PBKDF2 mit Seed | Gerätesperre | Implementierungsabhängig |
| Geltungsbereich | Alle Wallets aus der Seed | Einzelnes Gerät | Einzelne Anwendung |
Die Passphrase ist grundlegend anders, weil sie die abgeleiteten Schlüssel verändert. Eine PIN oder ein Passwort kontrolliert nur den Zugriff auf Schlüssel, die bereits auf einem Gerät existieren.
Fortgeschrittene Anwendungsfälle
Mehrere versteckte Wallets
Erfahrene Nutzer können mehrere Wallets aus einer einzigen Seed-Phrase verwalten:
- Leere Passphrase: Kleiner Betrag (Köder)
- Passphrase A: Hauptersparnisse
- Passphrase B: Trading-Allokation
- Passphrase C: Notfallreserve
Jede Wallet ist vollständig unabhängig. Es gibt keine On-Chain-Verknüpfung zwischen ihnen. Das Risiko steigt mit der Anzahl an Passphrasen, die du dir merken und sichern musst.
Kombination mit Multi-Signature
Für institutionelle oder sehr hochpreisige Verwahrung kombiniere eine BIP-39-Passphrase mit Multi-Signature:
- Der Schlüssel jedes Signierers wird aus Seed-Phrase + eindeutiger Passphrase abgeleitet.
- Ein Angreifer muss mehrere Seed-Phrasen UND die zugehörigen Passphrasen erlangen.
- Das bietet mehrere unabhängige Sicherheitsebenen.
FAQ
Was ist die BIP-39-Passphrase oder das „25. Wort“?
Die BIP-39-Passphrase ist eine optionale, vom Nutzer gewählte Zeichenfolge, die dem Seed-Ableitungsprozess (PBKDF2-Salt) hinzugefügt wird. Wenn sie verwendet wird, erzeugt dieselbe Mnemonic-Seed-Phrase einen vollständig anderen Satz aus Schlüsseln und Adressen. Sie wird häufig „25. Wort“ genannt, obwohl sie jede Textzeichenfolge sein kann und nicht nur ein BIP-39-Wort.
Kann ich meine Passphrase ändern?
Nicht so, wie man ein Passwort ändert. Da die Passphrase bestimmt, welche Schlüssel abgeleitet werden, bedeutet eine Änderung der Passphrase, dass du eine andere Wallet mit anderen Adressen öffnest. Um deine Passphrase zu „ändern“, musst du eine neue Wallet mit der neuen Passphrase erstellen und alle Gelder von der alten Passphrase-Wallet in die neue übertragen.
Was passiert, wenn ich meine Passphrase vergesse?
Deine Gelder werden dauerhaft unzugänglich. Es gibt keinen Wiederherstellungsmechanismus, keine Reset-Option und keine praktikable Möglichkeit, eine starke Passphrase per Brute Force zu erraten. Deshalb ist ein korrektes Backup der Passphrase essenziell.
Wird die Passphrase auf meiner Hardware-Wallet gespeichert?
Einige Hardware-Wallets bieten die Option, eine Passphrase mit einer sekundären PIN zu verknüpfen (z. B. Ledgers Modus „Attached to PIN“). In diesem Fall wird aus Komfortgründen ein Hinweis oder Hash auf dem Gerät gespeichert. Die kanonische Methode ist jedoch der „temporary“-Modus, bei dem die Passphrase jedes Mal eingegeben werden muss und nichts auf dem Gerät gespeichert wird.
Unterstützt jede Wallet die BIP-39-Passphrase?
Die meisten BIP-39-kompatiblen Wallets unterstützen die Passphrase-Funktion, manche bieten sie jedoch nicht in ihrer Benutzeroberfläche an. Prüfe die Dokumentation deiner Wallet. Große Hardware-Wallets (Ledger, Trezor, Coldcard) unterstützen sie alle.
Kann ein Angreifer erkennen, ob ich eine Passphrase nutze?
Nein. Da auch der Standardfall (leere Passphrase) eine gültige Wallet erzeugt, gibt es anhand der Seed-Phrase allein keine Möglichkeit zu erkennen, ob zusätzliche passphrase-geschützte Wallets existieren. Selbst wenn ein Angreifer deine Seed-Phrase erhält und in der Basis-Wallet Gelder findet, kann er nicht wissen, ob passphrase-geschützte Wallets existieren.
Ist die Passphrase groß-/kleinschreibungssensitiv?
Ja. „MyPassphrase“, „mypassphrase“ und „MYPASSPHRASE“ erzeugen alle unterschiedliche Wallets. Auch Leerzeichen sind relevant: „my pass“ und „mypass“ sind verschieden. Dokumentiere deine Passphrase mit höchster Genauigkeit.
Kann ich die Passphrase mit einer 12-Wort-Seed-Phrase verwenden?
Ja. Die Passphrase-Funktion funktioniert mit jeder BIP-39-Mnemonic-Länge (12, 15, 18, 21 oder 24 Wörter). Der PBKDF2-Prozess ist unabhängig von der Mnemonic-Länge gleich.