Verwendung eines Passwort-Managers zur Sicherung von Bitcoin

Für Bitcoin (BTC) und die Welt der Kryptowährungen gibt es verschiedene „Faustregeln“, aber eine davon kann den Unterschied ausmachen, ob Sie diese Vermögenswerte wirklich besitzen oder nicht.

Die Regel lautet wie folgt: „Not your keys, not your coins“ = „Nicht deine Schlüssel, nicht deine Münzen.“ In diesem Zusammenhang bezieht sich der Begriff „Schlüssel“ auf einen „privaten Schlüssel“, einen alphanumerischen Code, der einer Person, die die Kontrolle über BTC und Krypto-Vermögenswerte hat, den Zugang zu diesen ermöglicht. Die so genannte „Seed-Phrase“ wird von diesen privaten Schlüsseln abgeleitet.

Sie besteht aus einer Kombination von 12 bis 24 Wörtern und dient als Backup, falls Sie Ihre privaten Schlüssel verlieren. Daher ist es unerlässlich, beide zu schützen und sie idealerweise vollständig offline zu halten.

Während einige BTC- und Krypto-Benutzer immer noch versuchen, diese Lebensader mit Hilfe von Passwort-Managern zu sichern, sollten sie jedoch aufpassen: Cybernews berichtete in diesem Jahr über eine Sicherheitsverletzung bei einem beliebten Manager, LastPass, die angeblich zum Verlust von BTC im Wert von 53.000 Dollar und zu anschließenden rechtlichen Schritten führte.

Das Unternehmen sieht sich nun mit einer neuen Flut von Anschuldigungen konfrontiert, die mit kompromittierten Daten und gestohlenen Kryptogeldern zusammenhängen.

Ist es also völlig unklug, einen Passwort-Manager für diesen Zweck zu verwenden, oder sollte man ihn ganz meiden? Cybernews sprach mit einflussreichen Persönlichkeiten innerhalb der Bitcoin-Community, die sich auf die Sicherung privater Schlüssel spezialisiert haben, um dies herauszufinden.

Risiko Manager

Douglas Bakkum, CEO und Mitbegründer von BitBox, einem Hersteller von BTC- und Krypto-Hardware-Wallets, betont, dass diese Geräte weithin als das beste Mittel zur Speicherung privater Schlüssel angesehen werden.

Dafür gibt es einen zwingenden Grund: Börsen, auf denen eine beträchtliche Anzahl von BTC- und Krypto-Nutzern ihre Münzen lagert, sind Opfer von Hackerangriffen geworden, die zu Milliardenverlusten geführt haben. Gleichzeitig suchen Hacker unermüdlich nach Möglichkeiten, in persönliche Geräte einzudringen und Ihre Münzen zu stehlen.

Bakkum gibt zu bedenken: „Wenn sich Bitcoin stärker durchsetzt, wird es mehr Anreize dafür geben“. Er weist darauf hin, dass Smartphones mit ihren ungeprüften Millionen von Codezeilen und ihrer Internetzugänglichkeit zusammen mit den Apps von Drittanbietern attraktive Ziele für Cyberkriminelle darstellen.

In einer Rede am Rande der Bitcoin-Konferenz Baltic Honeybadger in Riga, Lettland, am vergangenen Wochenende sprach Bakkum eine Reihe von Bedenken in Bezug auf Passwort-Manager an. Das erste Problem betraf Sicherheitsverletzungen, wie Vorfälle wie der von LastPass zeigen, bei denen Nutzer, die ihre privaten Schlüssel oder Seed-Phrasen speichern, eine harte Lektion gelernt haben.

„Andererseits gibt es auch das Thema Malware, die auf Ihrem Handy oder Desktop vorhanden ist“, sagt er. „Wenn Sie es benutzen wollen, müssen Sie das Geheimnis extrahieren, und für diesen Zeitraum ist es auf Ihrem Computer sichtbar – es berührt tatsächlich das mit dem Internet verbundene Gerät“. Auch wenn Sie sich eine Zeit lang sicher fühlen, ist es unvermeidlich, dass Sie einem Risiko ausgesetzt sind, warnt er.

Menschen sind schlecht bei Passwörtern

Kevin Loaec, CEO von Wizardsardine, einem Anbieter von Bitcoin-Sicherheitslösungen, ist der Meinung, dass Passwort-Manager durchaus sinnvoll sein können, wenn es darum geht, private Schlüssel oder Seed-Phrasen zu sichern, die mit kleineren Bitcoin- oder Krypto-Beträgen verbunden sind. Er erklärt: „Sie werden nicht mit unseren gesamten Ersparnissen gehen [sic], nur mit etwas Taschengeld.“
Er fügt hinzu: „Wenn Sie ein sehr starkes Passwort zusätzlich zu Ihrem Passwortmanager verwenden oder 2FA [Zwei-Faktor-Authentifizierung] mit YubiKey [einem Hardware-Authentifizierungsgerät] einsetzen, denke ich, dass es in Ordnung ist.“

Es gibt jedoch ein entscheidendes „aber“ zu beachten: Loaec sagt, dass Benutzer oft Schwierigkeiten haben, starke Passwörter zu erstellen, und dass sie möglicherweise nicht das gleiche Sicherheitsniveau erreichen, wie es von fortgeschrittenen Verschlüsselungsstandards empfohlen wird.

„Meiner Meinung nach sollten sich Seeds [Phrasen] niemals auf dem Computer befinden“, betont er, insbesondere, wenn dieser mit dem Internet verbunden ist oder sein wird. Wenn Sie dennoch auf die Verwendung eines Passwortmanagers bestehen, empfiehlt Loaec dringend einen YubiKey.

„Jeder zweite Faktor [Authentifizierung] ist heutzutage sehr wichtig“, fügt er hinzu und betont, dass man mit Optionen zur Wiederherstellung von Passwörtern vorsichtig sein muss, da beispielsweise der Verlust des Zugriffs auf Ihre E-Mail dazu führen könnte, dass Sie keinen Zugang mehr zu Ihrem Manager haben.

Einzigartige Lösung

SatoshiLabs, der Hersteller hinter der Trezor-Hardware-Wallet, bot früher einen eigenen Passwort-Manager an, der aber inzwischen veraltet ist oder außer Betrieb genommen wurde. Pavol Rusnak, Mitbegründer des Unternehmens, sagt, dass sein Manager für die Speicherung von Website-Anmeldeinformationen konzipiert war, nicht für private Schlüssel oder Seed-Phrasen.

Ursprünglich wurde er als Chrome-Browser-Erweiterung entwickelt, musste aber aufgrund von Richtlinienänderungen in der Google-API (Application Programming Interface) eingestellt werden.
„Wir werden dieses Produkt wahrscheinlich in der Zukunft weiterentwickeln, aber jetzt konzentrieren wir uns auf die Bitcoin-Sachen“, sagte Rusnak gegenüber Cybernews und fügte hinzu, dass im Gegensatz zu anderen Passwortmanagern jede Zeile der Datenbank mit einem einzigartigen Schlüssel verschlüsselt wird, der die Trezor-Brieftasche verwendet.

Das bedeutet, dass selbst wenn sich jemand unrechtmäßig Zugang zum Hauptschlüssel des Managers verschafft, er nicht auf die verschlüsselten Passwörter in der Datenbank zugreifen kann, da dies nur mit dem Trezor-Gerät möglich ist.

In jedem Fall rät Rusnak aber auch BTC- und Krypto-Nutzern davon ab, ihre Seed-Phrase in einem Passwort-Manager zu speichern.

Im Allgemeinen arbeiten Bitcoin- und andere Blockchain-Entwickler daran, die Speicherung privater Schlüssel und Seed-Phrasen in Bezug auf Sicherheit und Benutzerfreundlichkeit zu verbessern, und es gibt bereits mehrere alternative Lösungen, die eine bessere Sicherheit für BTC oder Krypto-Assets bieten.