Guides ·

Gere uma Seed Phrase Bitcoin Offline (Passo a Passo)

Gerar sua seed phrase Bitcoin offline e o passo mais importante que voce pode tomar para proteger seus ativos cripto. Quando voce gera uma seed phrase em um dispositivo conectado, esta confiando que nenhum malware, extensao de navegador, keylogger ou sniffer de rede esta observando. A geracao air-gapped elimina todos esses riscos simultaneamente.

Este guia percorre o processo completo de geracao de uma seed phrase BIP39 para Bitcoin em um ambiente totalmente offline, desde a preparacao do hardware ate a verificacao do checksum e armazenamento seguro do resultado.

Por Que Gerar Offline?

Toda carteira Bitcoin comeca com uma seed phrase, tipicamente 12 ou 24 palavras selecionadas da lista de palavras BIP39. Essa seed phrase e a chave mestre da qual todas as suas chaves privadas, chaves publicas e enderecos sao derivados pela hierarquia da carteira HD. Qualquer pessoa que obtenha sua seed phrase controla todos os seus fundos.

O modelo de ameacas para geracao online inclui:

Malware e spyware. Keyloggers podem registrar o que aparece na tela. Malware de captura de tela pode tirar screenshots em intervalos regulares. Monitores de clipboard podem interceptar dados copiados. Mesmo que a ferramenta de geracao seja confiavel, o sistema operacional em que roda pode nao ser.

Ataques de extensoes de navegador. Uma extensao de navegador maliciosa ou comprometida pode injetar codigo em qualquer pagina, incluindo um gerador de seed phrase. Pode substituir o gerador de numeros aleatorios criptograficos por um deterministico que o atacante pode prever, ou simplesmente transmitir a frase gerada para um servidor remoto.

Interceptacao de rede. Embora o HTTPS proteja dados em transito, uma Autoridade Certificadora comprometida ou um ataque man-in-the-middle sofisticado poderia teoricamente interceptar sua conexao. Mais praticamente, o sequestro de DNS poderia redirecioná-lo para um clone de phishing de uma ferramenta legitima.

Comprometimentos na cadeia de suprimentos. Mesmo ferramentas confiaveis podem ser comprometidas no nivel da infraestrutura. Um comprometimento de CDN, um ataque de injecao de dependencia ou um pipeline de build comprometido pode introduzir codigo malicioso extremamente dificil de detectar. Nossa analise de seguranca de geradores de seed online explora esses riscos em profundidade.

Gerar offline elimina todos os vetores de ataque baseados em rede e reduz drasticamente a superficie para ataques baseados em software. Nao e paranoia; e a pratica padrao recomendada por todo guia serio de seguranca Bitcoin para carteiras que armazenam valor significativo.

Checklist de Ambiente Air-Gapped

Antes de comecar, prepare seu ambiente. O objetivo e um dispositivo que nunca foi conectado a internet durante ou apos o processo de geracao, ou idealmente, um dispositivo que nunca se conectara a internet.

Opcoes de hardware (escolha uma)

Opcao A: Laptop antigo dedicado. O padrao ouro. Use um laptop que voce nunca conectara a internet. Formate o disco e instale um sistema operacional limpo (um Linux live USB como Tails e ideal). Esse laptop se torna seu dispositivo dedicado de assinatura offline.

Opcao B: Live USB em qualquer computador. Inicialize um computador a partir de um Linux live USB (como Tails ou Ubuntu). O ambiente live roda inteiramente na RAM e nao deixa rastros no disco rigido. Desconecte o cabo ethernet e desative o WiFi antes de inicializar.

Opcao C: Computador atual (seguranca minima). Se voce precisar usar seu computador do dia a dia, no minimo: feche todos os aplicativos, desative WiFi e Bluetooth, desconecte qualquer cabo ethernet e certifique-se de que nenhum dispositivo externo esteja conectado. Isso e significativamente menos seguro que as Opcoes A ou B, mas ainda muito melhor que gerar online.

Checklist do ambiente

  • [ ] WiFi desativado no nivel do hardware (interruptor fisico ou configuracao BIOS, nao apenas toggle de software)
  • [ ] Cabo ethernet fisicamente desconectado
  • [ ] Bluetooth desativado
  • [ ] Todos os dispositivos USB desnecessarios removidos
  • [ ] Nenhum smartphone ou camera na sala (eles poderiam fotografar sua tela)
  • [ ] Navegador limpo de todas as extensoes (ou usando um perfil de navegador novo)
  • [ ] Nenhum software de compartilhamento de tela ou desktop remoto em execucao
  • [ ] Se usando live USB: inicializado a partir do USB, nao do disco interno

Isso pode parecer excessivo para quantias menores. Calibre sua seguranca ao valor que esta protegendo. Para quantias que impactariam seriamente sua vida se perdidas, o checklist completo e justificado.

Baixe o SafeSeed para Uso Offline

O SafeSeed roda inteiramente no seu navegador com zero comunicacao com servidor. Essa arquitetura o torna perfeitamente adequado para uso offline: voce pode baixar a pagina, desconectar da internet e gerar sua seed phrase com total confianca de que nada sai do seu dispositivo.

Download passo a passo

  1. Em um dispositivo conectado (pode ser um computador diferente da sua maquina air-gapped), navegue ate o Gerador de Seed Phrase Bitcoin do SafeSeed.

  2. Salve a pagina completa. No navegador, use "Salvar como" (Ctrl+S ou Cmd+S) e selecione "Pagina Web, Completa" para salvar o arquivo HTML junto com todos os recursos. Alternativamente, se planeja usar a ferramenta em varias sessoes, pode usar o modo offline do navegador ou salvar a pagina como um arquivo unico.

  3. Transfira para o dispositivo air-gapped. Copie o arquivo salvo para um pen drive USB. Esse pen drive idealmente deve ser novo ou recem-formatado. Se estiver usando uma configuracao de live USB, precisara de um segundo pen drive para esse arquivo.

  4. Verifique o arquivo. Antes de desconectar da internet, pode comparar o tamanho do arquivo salvo com o que ve online para confirmar que o download esta completo. Para verificacao adicional, confira que o codigo JavaScript faz referencia a Web Crypto API para geracao de aleatoriedade.

O principio chave e: baixe enquanto conectado, depois desconecte antes de gerar. Nunca gere uma seed phrase enquanto seu dispositivo tem qualquer conectividade de rede.

Desconecte e Gere

Com seu ambiente air-gapped pronto e a pagina SafeSeed salva localmente, siga estes passos.

Processo de geracao

  1. Confirme que esta desconectado. Abra suas configuracoes de rede e verifique se o WiFi esta desligado, nenhum ethernet esta conectado e nenhum hotspot movel ou tethering Bluetooth esta ativo. No Linux, executar ip link em um terminal deve mostrar todas as interfaces de rede como DOWN.

  2. Abra a pagina SafeSeed salva. Navegue ate o arquivo HTML salvo e abra-o no navegador. Ele carregara inteiramente de arquivos locais.

  3. Selecione seus parametros. Escolha entre uma seed phrase de 12 ou 24 palavras. Para armazenamento frio de Bitcoin a longo prazo, 24 palavras (256 bits de entropia) e recomendado. Fornece uma margem de seguranca significativamente maior, o que importa para fundos que voce planeja manter por anos ou decadas. Para contexto sobre como a entropia afeta a seguranca, leia o que entropia significa em criptomoedas.

  4. Gere a seed phrase. Clique no botao de geracao. O SafeSeed usa a funcao crypto.getRandomValues() do seu navegador, que obtem aleatoriedade do gerador de numeros aleatorios criptograficos do sistema operacional (ex.: /dev/urandom no Linux). Esta e a mesma fonte de entropia usada por OpenSSL, GPG e toda aplicacao criptografica seria.

  5. Escreva a seed phrase a mao. Nao a copie para a area de transferencia. Nao tire um screenshot. Nao a salve em um arquivo de texto. Escreva cada palavra claramente em papel, numerando de 1 a 12 (ou 24). Confira cada palavra com a lista na tela.

  6. Escreva novamente em um segundo pedaco de papel. Voce esta criando um backup. Compare ambas as copias palavra por palavra para confirmar que correspondem exatamente.

Se o SafeSeed tambem exibir o endereco Bitcoin e a chave privada correspondentes, registre tambem o primeiro endereco de recebimento. Isso permite verificar depois que sua seed phrase restaura corretamente, sem precisar expor a seed phrase a outro dispositivo.

Verifique Seu Checksum

Uma seed phrase BIP39 nao e apenas uma selecao aleatoria de palavras. A ultima palavra contem um checksum que valida a integridade de toda a frase. Este e um recurso de seguranca importante: se voce acidentalmente anotar uma palavra errada, o checksum falhara quando tentar restaurar a carteira, alertando-o sobre o erro antes de financiar o endereco.

Como o checksum funciona

Para uma seed phrase de 12 palavras: 128 bits de entropia sao gerados, depois um checksum de 4 bits (os primeiros 4 bits do hash SHA-256 da entropia) e adicionado, criando 132 bits no total. Esses 132 bits sao divididos em doze grupos de 11 bits, cada um mapeando para uma das 2.048 palavras na lista BIP39. A ultima palavra e parcialmente determinada pela entropia e parcialmente pelo checksum.

Para uma frase de 24 palavras, o processo e o mesmo mas com 256 bits de entropia e um checksum de 8 bits. Para uma explicacao completa, veja BIP39 Explicado.

Passos de verificacao

  1. No mesmo dispositivo offline, se o SafeSeed fornece um recurso de verificacao de checksum, use-o para confirmar que sua frase escrita a mao e valida. Insira as palavras que anotou e verifique se a ferramenta as aceita.

  2. Alternativamente, se tiver uma carteira de hardware disponivel (como Ledger ou Trezor), pode restaurar a seed phrase naquele dispositivo para verificar que produz o primeiro endereco esperado. Esta e a verificacao mais robusta porque usa software independente.

  3. Nunca verifique digitando sua seed phrase em uma ferramenta online. Todo o proposito da geracao offline e que a seed phrase nunca toque um dispositivo em rede. A verificacao tambem deve acontecer offline.

Se o checksum falhar, nao tente usar a frase. Gere uma nova. Um checksum falho significa que pelo menos uma palavra esta errada, e adivinhar qual palavra esta incorreta nao e pratico.

Opcoes de Armazenamento Seguro

Voce agora tem uma seed phrase Bitcoin valida escrita em papel. A geracao esta completa, mas a historia de seguranca esta apenas comecando. Como voce armazena essa frase determina se seus bitcoins permanecerao seguros por anos. Para um tratamento completo, veja nosso guia de armazenamento frio.

Armazenamento em papel

Papel e o meio de armazenamento mais simples. Funciona, mas e vulneravel a agua, fogo e degradacao fisica ao longo do tempo.

Melhores praticas para papel: - Use papel sem acido de arquivo, se disponivel. - Escreva com lapis (tinta pode desbotar) ou marcador permanente de arquivo. - Armazene em um saco ou recipiente a prova d'agua. - Mantenha em um cofre a prova de fogo. - Armazene copias em locais geograficamente separados (ex.: cofre domestico e cofre de banco).

Backup em metal

Para armazenamento de longo prazo, estampar ou gravar sua seed phrase em aco inoxidavel ou titanio fornece protecao contra fogo, agua e corrosao. Varios produtos comerciais existem para esse proposito: placas de aco com carimbos de letras, arruelas empilhaveis com letras gravadas ou cassetes com pecas deslizantes.

Backups em metal podem sobreviver a incendios domesticos (aco derrete a aproximadamente 1.370 graus Celsius, muito acima das temperaturas tipicas de incendios domesticos) e inundacoes. Sao o meio de armazenamento recomendado para qualquer quantia que voce considere significativa.

Distribuicao de armazenamento

Nunca armazene todas as copias da sua seed phrase em um local. Um unico evento catastrofico (incendio, roubo, inundacao) poderia destruir todas as copias simultaneamente. A abordagem recomendada:

  • Copia primaria: Sua casa, em um cofre a prova de fogo. Backup em metal preferido.
  • Copia secundaria: Um local fisico diferente (cofre de banco, casa de um familiar de confianca, propriedade secundaria). Papel ou metal.
  • Copia terciaria opcional: Um terceiro local se a quantia justificar.

O que NAO fazer

  • Nao armazene sua seed phrase digitalmente (sem fotos, sem arquivos de texto, sem armazenamento na nuvem, sem gerenciadores de senha para a seed em si).
  • Nao envie a frase por e-mail para si mesmo.
  • Nao armazene em um local compartilhado onde outros possam encontra-la.
  • Nao plastifique backups de papel (umidade pode ficar presa dentro).

Limpeza pos-geracao

Apos armazenar com seguranca sua seed phrase e verifica-la, limpe seu ambiente air-gapped:

  1. Feche o navegador.
  2. Se usando live USB, simplesmente desligue. A RAM e limpa ao desligar.
  3. Se usando um laptop dedicado offline, limpe os dados do navegador.
  4. Nao conecte o dispositivo a internet ate ter certeza de que nenhum rastro da seed phrase permanece na memoria ou no disco.

Voce agora tem uma seed phrase Bitcoin gerada com o mais alto nivel de seguranca alcancavel sem hardware especializado. Suas chaves privadas foram criadas em um ambiente onde nenhum atacante, por mais sofisticado, poderia intercepta-las pela rede. Combinado com armazenamento fisico adequado, essa abordagem protege seus bitcoins contra todo o espectro de ameacas digitais.

Para quem tambem trabalha com outras blockchains, o SafeSeed oferece a mesma capacidade de geracao offline para Ethereum e Solana. O processo air-gapped e identico; apenas o caminho de derivacao e o formato de endereco diferem. Nosso guia de geracao de carteira Solana cobre as especificidades desse ecossistema.