In diesem Artikel
- TL;DR
- Was ist BIP39?
- 12 Wörter vs 24 Wörter
- Wie deine Wallet Schlüssel ableitet
- Wie generiert man BIP39 Wallets in Node.js
- Tech Stack
- Imports und Konstanten
- Eine Wallet generieren
- Adress-Aktivität prüfen
- Treffer speichern
- Den Lauf orchestrieren
- Das 25. Wort, das die meisten Halter nie setzen
- Physischer Diebstahl wird überlebbar
- Die Angriffsfläche schrumpft
- Die Angriffe, die Bitcoin Wallets wirklich leeren
- Was du mit deiner Seed-Phrase NICHT tun darfst
- Wie du Seed-Phrasen wirklich lagerst
- Metall-Backup statt Papier
- Hardware-Wallet-Empfehlungen für 2026
- Quantencomputer und BIP39
- BIP39 hält. Die menschliche Schicht oft nicht.
Ich arbeite im Bereich der Krypto-Selbstverwahrung. Jeden Monat fragt mich jemand, ob er sich Sorgen machen muss um einen Brute-Force-Angriff auf seine Seed Phrase. Die Mathematik sagt nein. Das Verhalten sagt ja, aber aus ganz anderen Gründen als die meisten erwarten.
Diese 12 oder 24 Wörter sind kein „Backup". Sie sind deine Bitcoin. Wer die Phrase hat, besitzt jeden Satoshi in der Wallet. Kein Passwort-Reset, kein Support-Ticket, kein Berufungsweg.
Das hier ist ein Sicherheits-Deep-Dive. Wie BIP39 funktioniert, wo es verwundbar ist, die 12-vs-24-Wörter-Frage und das am stärksten ungenutzte Sicherheits-Feature in Bitcoin, die BIP39-Passphrase.
TL;DR
Eine BIP39-Seed-Phrase ist der Master-Schlüssel zu deinen Bitcoin. 12 oder 24 gewöhnliche englische Wörter, die 128 bis 256 Bit kryptografische Entropie kodieren. Die 2 048-Wort-Wortliste ist fix, die Wortreihenfolge zählt und PBKDF2 streckt deine Phrase zu einem 512-Bit-Seed, aus dem jeder Schlüssel deiner Wallet abgeleitet wird. 24 Wörter geben 256 Bit Entropie. Brute-Forcing ist rechnerisch unmöglich. Das Risiko liegt anderswo. Phrase fotografieren, in der Cloud speichern, Wörter falsch tippen oder Malware ausgesetzt sein. Auf Metall oder Papier schreiben. Nie digital.
Was ist BIP39?
Vor BIP39 generierten Bitcoin-Wallets rohe hexadezimale Privatschlüssel. 64-stellige zufällige Zeichenketten, fast unmöglich akkurat abzuschreiben oder zu memorieren. BIP39 löste das, indem es Wallet-Entropie in eine menschenlesbare mnemonische Phrase standardisierte.
So funktioniert es:
- Entropie wird generiert. Ein Zufallswert von 128 bis 256 Bit (in 32-Bit-Schritten).
- Eine Prüfsumme wird angehängt. Die ersten Bits eines SHA-256-Hashes der Entropie kommen ans Ende.
- Der Gesamtwert wird in 11-Bit-Segmente geteilt. Jedes Segment mappt auf ein Wort der BIP39-Wortliste.
- Das Resultat ist deine Seed-Phrase. 12, 15, 18, 21 oder 24 Wörter, je nach Anfangs-Entropie.
Die BIP39-Wortliste enthält exakt 2 048 Wörter (2^11, by Design). Jedes Wort ist eindeutig durch seine ersten vier Buchstaben identifizierbar, was Tippfehler beim Eingeben minimiert. BIP-39 liefert 10 offizielle Wortlisten in Englisch, Japanisch, Koreanisch, Spanisch, Chinesisch (vereinfacht), Chinesisch (traditionell), Französisch, Italienisch, Tschechisch und Portugiesisch (BIP-39 Wortlisten-Register). Der Standard wurde 2013 von Marek Palatinus, Pavol Rusnák, Aaron Voisine und Sean Bowe definiert (BIP-39 Spezifikation).
Der finale Schritt. Deine mnemonische Phrase läuft durch die PBKDF2-Key-Stretching-Funktion (mit 2 048 Runden HMAC-SHA512), um einen 512-Bit-Binär-Seed zu erzeugen. Dieser Seed wird dann an den BIP32-HD-(hierarchical deterministic-)Wallet-Ableitungsalgorithmus übergeben, der den ganzen Baum von Privat- und Public Keys generiert, den deine Wallet nutzt.
Ein Seed, unendliche Schlüssel. Jede Bitcoin-Adresse, die deine Wallet je erzeugte, ist allein aus diesen Wörtern recoverable.
12 Wörter vs 24 Wörter
Was die Entropie-Zahlen tatsächlich bedeuten:
| Phrase-Länge | Entropie | Mögliche Kombinationen |
|---|---|---|
| 12 Wörter | 128 Bit | ~3,4 × 10^38 (2^128) |
| 24 Wörter | 256 Bit | ~1,16 × 10^77 (2^256) |
128 Bit ist rechnerisch nicht brute-forcebar. Alle Computer der Erde zusammen können den Keyspace nicht ausschöpfen, bevor die Sonne erlischt. 256 Bit ist Grössenordnungen darüber und passt zur Privatschlüssel-Entropie von Bitcoin selbst. Die meisten Hardware-Wallets defaulten auf 24 Wörter. Eine vollständige Anleitung zur Auswahl und Nutzung findest du in der Self-Custody-Anleitung.
Beide sind heute sicher. Für langfristiges Sparen geben 24 Wörter mehr Marge. Die Sicherheits-Community empfiehlt sie generell.
Wie deine Wallet Schlüssel ableitet
Der Ableitungspfad erklärt, warum eine einzige Seed-Phrase so mächtig und so gefährlich zu exponieren ist.
Deine Seed-Phrase erzeugt via PBKDF2 den Master-Seed. Der Master-Seed erzeugt via BIP32 den Master-Privatschlüssel und den Master-Chain-Code.
Aus dem Master-Privatschlüssel leitet deine Wallet Child Keys via Ableitungspfad ab. Der häufigste Standard für Bitcoin ist BIP44, der Pfade wie folgt erzeugt:
m / 44' / 0' / 0' / 0 / 0
Wobei:
m= Master-Schlüssel44'= BIP44-Purpose0'= Bitcoin (Coin-Typ 0)0'= erstes Konto0= External Chain (Empfangsadressen)0= erster Adress-Index
Jede Bitcoin-Adresse, auf der du je Mittel empfangen hast, ist deterministisch aus diesem Master-Seed abgeleitet. Restore die Seed-Phrase auf einer beliebigen BIP39/BIP44-kompatiblen Wallet und alles kommt zurück. Adressen, Salden, Transaktionshistorie.
Verlust der Seed-Phrase bedeutet, es gibt nichts zu wiederherstellen. Kein zentraler Server, kein Recovery-Pfad.
Wie generiert man BIP39 Wallets in Node.js
Der schnellste Weg, BIP39-Entropie zu verstehen, ist sie selbst zu generieren. Das Node.js-Setup unten erzeugt Wallets und prüft, ob die generierten Adressen je Mittel gehalten haben. Funktionierender Code aus Bi-Catalyst/bruteforcebitcoin. Nur zu Bildungszwecken. Zufallswallets zu generieren und die Kettenhistorie zu prüfen ist eine Brute-Force-Übung, die die Mathematik bestätigt. Es ist kein Pfad zu fremden Coins.
Tech Stack
- axios für HTTP-Anfragen an Blockchain-APIs
- bip39 für Mnemonic-Generierung und Seed-Ableitung
- bitcoinjs-lib für Adress-Ableitung und Transaktions-Tooling
package.json:
{
"name": "bruteforcebitcoin",
"version": "1.0.0",
"description": "",
"main": "index.js",
"scripts": {
"run": "node generate_wallet.js"
},
"license": "MIT",
"dependencies": {
"axios": "^1.4.0",
"bip39": "^3.1.0",
"bitcoinjs-lib": "^5.2.0"
}
}
Imports und Konstanten
const axios = require('axios')
const bip39 = require('bip39')
const bitcoin = require('bitcoinjs-lib')
const fs = require('fs')
const parallelLimit = 10
const iterations = 100
const batchSize = 10
const delayBetweenBatches = 5000 // 5 Sekunden
const apiDelay = 3000 // 3 Sekunden
let useBlockchainInfoAPI = true
Eine Wallet generieren
async function generateWallet() {
// Neue 12-Wort Mnemonic Seed-Phrase generieren
const mnemonic = bip39.generateMnemonic(128)
console.log('Mnemonic:', mnemonic)
// Mnemonic in Seed umwandeln
const seed = await bip39.mnemonicToSeed(mnemonic)
// Wallet aus dem Seed via BIP32 ableiten
const network = bitcoin.networks.bitcoin
const hdMaster = bitcoin.bip32.fromSeed(seed, network)
const account = hdMaster.derivePath("m/44'/0'/0'/0")
// Neue Bitcoin-Adresse generieren
const { address } = bitcoin.payments.p2pkh({
pubkey: account.derive(0).publicKey,
network
})
console.log('Bitcoin Adresse:', address)
const hasTransactions = await checkAddressActivity(address)
await new Promise(resolve => setTimeout(resolve, apiDelay))
return { address, hasTransactions }
}
Adress-Aktivität prüfen
Zwei öffentliche Block-Explorer im Wechsel, um Rate-Limits zu umgehen. Blockchain.com API und BlockCypher API:
async function checkAddressActivity(address) {
try {
let response
if (useBlockchainInfoAPI) {
response = await axios.get(`https://blockchain.info/rawaddr/${address}`)
} else {
response = await axios.get(
`https://api.blockcypher.com/v1/btc/main/addrs/${address}`
)
}
useBlockchainInfoAPI = !useBlockchainInfoAPI
let hasTransactions = false
if (response.data.txs) {
hasTransactions = response.data.txs.length > 0
} else if (response.data.txrefs) {
hasTransactions = response.data.txrefs.length > 0
}
return hasTransactions
} catch (error) {
console.error('Fehler beim Abrufen der Adressdaten:', error.message)
return false
}
}
Treffer speichern
function appendToFile(filename, data) {
fs.appendFile(filename, data, err => {
if (err) {
console.error(`Fehler beim Speichern in ${filename}:`, err.message)
} else {
console.log(`Daten gespeichert in ${filename}`)
}
})
}
Den Lauf orchestrieren
async function main() {
const walletPromises = []
for (let i = 0; i < iterations; i++) {
walletPromises.push(generateWallet())
if (walletPromises.length === parallelLimit) {
await processBatch(walletPromises)
walletPromises.length = 0
}
}
if (walletPromises.length > 0) {
await processBatch(walletPromises)
}
}
Lass das Skript über Nacht laufen. Du wirst keine Wallet mit Guthaben treffen. Das ist der Punkt. Die Kombinatorik macht es auf Consumer-Hardware zu einer Milliarden-Milliarden-Milliarden-Jahre-Übung. Das Skript bestätigt die Mathematik, indem es daran scheitert.
Vollständiges Repo auf github.com/Bi-Catalyst/bruteforcebitcoin.
Das 25. Wort, das die meisten Halter nie setzen
BIP39 enthält eine optionale Passphrase, das „25. Wort", die die meisten Bitcoin-Halter nie verwenden. Das ist ein Fehler.
Wenn deine Mnemonik in einen Binär-Seed konvertiert, nimmt die PBKDF2-Funktion zwei Inputs. Deine mnemonische Phrase und eine optionale Passphrase. Standardmässig ist diese Passphrase ein leerer String. Du kannst alles eingeben. Ein Wort, eine Phrase, Symbole, Zahlen.
Eine andere Passphrase produziert eine komplett andere Wallet. Gleiche 24 Wörter, andere Passphrase, komplett anderer Master-Seed, andere Adressen, andere Salden. Daraus folgen zwei Sicherheitsimplikationen.
Physischer Diebstahl wird überlebbar
Jemand bricht ein und findet deine Seed-Phrase auf Papier. Ohne Passphrase greift er nur auf die Empty-String-Wallet zu, ein Decoy mit kleinem Bestand. Deine echten Bestände, hinter einer Passphrase, die nur du kennst, sind kryptografisch unsichtbar.
Das ist ein legitimes Plausible-Deniability-Setup. Kleinen Bestand in der Basis-Wallet. Echten Stack hinter der Passphrase.
Die Angriffsfläche schrumpft
Die meisten Angriffsvektoren (physischer Diebstahl, Shoulder Surfing, durchgesickertes Foto) brauchen nur die Seed-Wörter. Die Passphrase fügt einen zweiten Faktor hinzu, der nie auf demselben Papier steht, nie am selben Ort gelagert ist, nie digital übertragen wird.
Coldcard, Jade, Trezor, Ledger. Alle unterstützen sie. Sie liegt in den Advanced Settings. Aktivieren.
Eine Warnung. Die Passphrase ist nicht recoverable. Vergiss sie, und der Bitcoin ist weg. Separat aufschreiben, sicher lagern, Recovery testen, bevor du etwas Substanzielles deponierst.
Die Angriffe, die Bitcoin Wallets wirklich leeren
Reale Seed-Phrase-Verluste involvieren fast nie Brute Force. Sie clustern in drei Kategorien. Digital, physisch und mathematisch.
Digitale Angriffe dominieren das Feld. Phishing ist der häufigste Verlustvektor. Falsche Wallet-Apps, falsche „Wallet-Recovery"-Websites, falsche Support-Mitarbeiter. Keine seriöse Wallet, Börse oder Support-Stelle wird je nach deiner Seed-Phrase fragen, nicht einmal, niemals. Cloud-Backup-Fehler kommen direkt danach. Du fotografierst deine Seed-Phrase und dein Telefon synchronisiert automatisch zu Google Photos oder iCloud. Dein Seed liegt nun auf einem Server, und das hat reale Verluste verursacht. Malware (Keylogger, Clipboard-Hijacker) auf internetverbundenen Maschinen kann Seed-Phrasen während der Eingabe abfangen, genau deshalb existiert ein dediziertes Hardware-Gerät überhaupt erst.
Physische Angriffe sind langsamer, aber real. Jemand findet deine geschriebene Seed-Phrase in einer Schublade, hinter einem Rahmen, auf einem Kühlschrankmagnet. Lagerort plus BIP39-Passphrase sind hier deine Verteidigung. Shoulder Surfing ist die milde Variante. Jemand beobachtet dich beim Generieren oder Eingeben deiner Seed-Phrase, also richte Hardware-Wallets in privater Umgebung ein und prüfe auf Kameras, bevor du etwas Sensibles bestätigst.
Mathematische Angriffe (Brute Force auf die Entropie selbst) sind das Thema, das der Titel dieses Posts vorgibt zu behandeln, und das einzige, das nie eine Wallet geleert hat. 2^128 oder 2^256 Kombinationen mit aktuellen Hardware-Constraints. Wenn du deinen Seed auf einer seriösen Hardware-Wallet mit gesundem RNG generiert hast, ist Brute Force nicht dein Thema. Die Mathe-Mauer steht. An der Verhaltens-Mauer wirst du runtergestossen.
Was du mit deiner Seed-Phrase NICHT tun darfst
Dokumentierte Verlust-Vektoren, keine Vorschläge:
- Keine digitalen Fotos. Niemals.
- Kein Cloud-Storage. Dropbox, Google Drive, iCloud, OneDrive.
- Keine Passwort-Manager ausser du hast das Threat-Modell gezielt durchdacht.
Darüber hinaus auch keine E-Mail (nicht an dich, nicht an andere), keine Messaging-Apps (WhatsApp, Signal, iMessage), keine Screenshots und keine Website, die behauptet, ein „Seed-Phrase-Validator" oder „Wallet-Recovery-Tool" zu sein, denn das sind Betrugsmaschen.
Nur physische Form. Orte, die du kontrollierst. Augen, denen du vertraust.
Wie du Seed-Phrasen wirklich lagerst
Generiere auf einem dedizierten Gerät (Coldcard, Jade, Trezor) und nicht in einer Browser-Erweiterung, einer Mobile-App oder einer Desktop-Wallet mit Internetzugang. Hardware-Wallets isolieren die Entropie-Generierung. Ein verbundener Computer hat zu viele Angriffsflächen.
Metall-Backup statt Papier
Papier brennt, wird nass, zersetzt sich. Metall-Backup-Produkte (Cryptosteel Capsule, Blockplate, Bilodeau-Plates) stanzen oder gravieren deine Seed-Wörter in rostfreien Stahl oder Titan. Sie überleben Hausbrände und Überschwemmungen. Eine Kopie an einem Ort ist ein Single Point of Failure. Zwei oder drei Metall-Backups an separaten physischen Orten. Wenn du eine BIP39-Passphrase nutzt, lagere sie separat von den Seed-Wörtern.
Hardware-Wallet-Empfehlungen für 2026
Auch abgedeckt in Wallets, sicher bleiben.
- Coldcard Q. Bitcoin-only, airgapped PSBT-Workflow, höchste Sicherheit.
- Jade Plus. Günstig, Open Source, starkes Sicherheitsmodell.
- Trezor Model T / Safe 5. GPL-3.0 Firmware (Trezor Firmware Repository), das EAL6+ Secure Element Silizium bleibt closed (Hersteller bestätigt NDA-frei). Trezor Safe 3 liefert standardmässig ein 20-Wort SLIP-39 Backup mit 12 oder 24 BIP-39 wählbar (Trezor Safe 3 Produktseite).
- Ledger Nano S Plus und BitBox02. Defaulten auf 24 BIP-39 Wörter. Funktionsreich. Vergangene Lieferketten-Bedenken in der Sicherheits-Community zur Ledger-Linie vermerkt.
Vor der Einzahlung testen. Gerät zurücksetzen. Aus deiner Seed-Phrase restoren. Verifizieren, dass alle Adressen übereinstimmen. Passphrase-Funktion bestätigen. Dann einzahlen. Mache das, bevor echte Bitcoin in die Wallet gehen.
Quantencomputer und BIP39
Shors Algorithmus zielt auf ECDSA (das elliptische Kurven-Signaturschema, das Bitcoin für Transaktionen nutzt), nicht auf BIP39-Entropie. Ein hinreichend leistungsfähiger Quantencomputer könnte theoretisch einen Privatschlüssel aus einem in einem ungespendeten Transaktions-Output exponierten Public Key ableiten. Der Seed selbst ist sicher, weil PBKDF2-HMAC-SHA512 gegen Grover nur einen quadratischen Faktor verliert, was die symmetrische 256-Bit-Stärke weit über jedem plausiblen Angriffsbudget belässt.
NIST finalisierte seine Post-Quantum-Cryptography-Standards 2024, Taproot führte Schnorr-Signaturen ein (BIP340) und aktuelle Schätzungen halten BIP39-Seed-Phrasen auf den derzeitigen Trajektorien für mindestens 10 bis 20 Jahre sicher gegen Quantenangriffe. Jede Migration wird ein koordinierter Protokoll-Level-Wechsel sein, keine Überraschung. Vollständige Aufschlüsselung in der Quanten-Bedrohungsanalyse.
BIP39 hält. Die menschliche Schicht oft nicht.
Die Kryptografie ist solide. 128 oder 256 Bit Entropie produzieren einen Keyspace, den kein Gegner brute-forcen kann. Dieses Problem ist gelöst.
Die Verwundbarkeiten sind menschlich. Seed-Phrasen werden fotografiert, in die Cloud synchronisiert, in Phishing-Sites eingetippt, an einem einzigen Ort ohne Redundanz gelagert. Die BIP39-Passphrase, ungenutzt in den Advanced Settings jeder grossen Hardware-Wallet, schlägt die meisten dieser Szenarien mit einem Extra-Schritt.
Drei Aktionen schliessen die Lücke. Aktiviere die BIP39-Passphrase und lagere sie separat von deinen Seed-Wörtern. Wechsle auf ein Metall-Backup (Cryptosteel, Blockplate oder ähnliches), denn Papier ist keine permanente Lösung. Teste deine Recovery, bevor es zählt, indem du das Gerät wipst, aus Seed und Passphrase restaurierst und verifizierst, dass es funktioniert.
BIP39 gibt dir das Fundament. Die Sicherheit, die du darauf baust, entscheidet, ob deine Bitcoin tatsächlich sicher sind.
Dieser Artikel ist öffentlich verfügbare BIP-39-Kryptographie-Dokumentation und Hardware-Wallet-Hersteller-Informationen von 2026, keine Sicherheitsberatung. Hardware-Wallet-Firmware und Feature-Sets ändern sich. Teste jeden Recovery-Ablauf auf einem separaten Gerät, bevor du grössere Bitcoin-Beträge einzahlst, verifiziere den Open-Source-Status jeder Wallet-Firmware gegen das aktuelle öffentliche Repository des Herstellers, und behandle jedes "BIP-39 brute force" Service-Angebot als Betrug. Sicherheitsempfehlungen veralten schnell. Im Zweifel sprich mit einem Schweizer Sicherheitsberater oder einem FINMA-beaufsichtigten Verwahrer, bevor du nennenswertes Kapital in ein Setup einzahlst, das du nicht unabhängig verifizieren kannst.
Quellen:
- BIP-39 Spezifikation, Bitcoin GitHub
- BIP-39 Wortlisten-Register
- Trezor Firmware Repository
- Trezor Safe 3 Produktseite
- BIP39 technische Übersicht, Plisio
- Seed-Phrase-Sicherheitsanleitung, Bleap Finance
- Seed Phrases erklärt, Knowing Bitcoin
- Top Hardware Wallets 2026, Bitcoin Magazine
- Hardware Wallet Kaufberatung 2026, Knowing Bitcoin
- NIST Post-Quantum Cryptography Standards, finalisiert 2024
Neu bei Bitcoin? Beginne mit Kapitel 1. Es dauert 8 Minuten.
Praktisches Setup? Bitcoin-Wallet Schweiz. Hardware-Wallets, Multisig, Schweizer Steuerimplikationen.