Je seed phrase is gestolen. Iemand heeft je kluis doorzocht, een foto gemaakt van je backup, of je misleid om die 24 kostbare woorden prijs te geven. Je krijgt een hartverzakking. En dan herinner je het je—je hebt dat extra woord toegevoegd. Dat ene woord dat niemand kent. Dat niet op een woordenlijst staat. Plots staart de dief naar een lege wallet, terwijl jouw echte Bitcoin veilig verborgen zit achter een passphrase die hij nooit zal raden.
Dat is de verborgen wallet. En als je die niet gebruikt, laat je je financiële soevereiniteit onvolledig.
Wat is een verborgen wallet eigenlijk?
Een BIP39-passphrase is een optionele extra laag die je toevoegt aan je seed phrase. Zie het als het 25e woord bij een 24-woorden seed, of het 13e woord bij een 12-woorden seed. Maar hier zit het cruciale verschil: je seed-woorden komen uit een vaste lijst van 2.048 BIP39-woorden, terwijl een passphrase letterlijk alles kan zijn. Letters, cijfers, symbolen, spaties—“ILoveBitcoin2024!”, “mijn-geheime-potje-#9” of zelfs een reeks emoji’s. De mogelijkheden zijn praktisch eindeloos.
Wanneer je je seed phrase combineert met een passphrase, pas je je bestaande wallet niet aan. Je creëert een volledig nieuwe wallet, met compleet andere private keys en Bitcoin-adressen. Eén seed phrase plus verschillende passphrases betekent onbeperkt veel aparte wallets. Je oorspronkelijke seed zonder passphrase wordt de “decoy”-wallet. Met een passphrase open je de “verborgen” wallet.
Elke ingevoerde passphrase genereert een geldige wallet. Typ je “Bitcoin” met een hoofdletter B? Eén wallet. “bitcoin” in kleine letters? Een totaal andere. Voeg je een spatie toe aan het einde? Weer een andere wallet. Er zijn geen foutmeldingen voor een “verkeerde” passphrase. Een typfout opent simpelweg een andere, lege wallet. Daarom is verificatie cruciaal—controleer altijd je wallet fingerprint, een identificatie van 8 tekens, om zeker te weten dat je de juiste passphrase gebruikt.
Waarom passphrases alles veranderen voor Bitcoin-beveiliging
Het grootste voordeel is simpel: zelfs als een aanvaller je seed phrase heeft, krijgt hij zonder passphrase alleen toegang tot de decoy-wallet. Je echte tegoeden blijven onzichtbaar, beschermd door een geheim dat nooit online komt, nooit op een server staat en ook niet op je hardware wallet wordt opgeslagen.
Dit creëert zogeheten plausible deniability. Onder dwang—denk aan de beruchte “$5 wrench attack”, waarbij iemand je fysiek dwingt je wallet te openen—kun je de decoy-wallet tonen met een klein saldo. De echte waarde blijft verborgen in je passphrase-wallet. De aanvaller ziet een wallet. Ziet saldo. En vertrekt. Jouw vermogen blijft onaangetast.
Maar hier zit de harde realiteit: verlies je je passphrase, dan ben je je Bitcoin voorgoed kwijt. Zelfs met je seed phrase kun je niets zonder die extra woorden. Geen klantenservice. Geen resetknop. Geen hersteloptie. Daarom is het essentieel om je passphrase fysiek te back-uppen—bijvoorbeeld op metaal—op een andere locatie dan je seed, en nooit digitaal op te slaan.
Hoe hardware wallets omgaan met passphrases
Trezor: de instapoptie
Op Trezor-apparaten—zoals de Safe 3, Safe 5, Safe 7 en Model T—kun je je passphrase invoeren via Trezor Suite of direct op het apparaat. De oudere Model One ondersteunt alleen invoer via de computer. Passphrases tot 50 ASCII-tekens worden ondersteund en de functie staat standaard uit. Je moet deze zelf inschakelen.
Belangrijk: een verkeerd ingevoerde passphrase opent stilletjes een lege wallet. Geen foutmelding. Daarom is het controleren van je wallet fingerprint essentieel.
Coldcard: voor gevorderden
Coldcard biedt maximale flexibiliteit. Je kunt je passphrase opslaan op een MicroSD-kaart (versleuteld met AES-256 en gekoppeld aan die specifieke kaart), of invoeren via het toetsenbord van het apparaat. Eén seed kan astronomisch veel wallets genereren—brute-force aanvallen zijn praktisch onmogelijk.
Belangrijk: passphrases worden niet opgeslagen in backups. Alleen je originele seed wordt vastgelegd.
Blockstream Jade: balans tussen veiligheid en gebruiksgemak
Jade gebruikt de standaard BIP39-implementatie, maar met handige opties. Je kiest zelf wanneer het apparaat om een passphrase vraagt: nooit, één keer of altijd. De “één keer”-optie verbergt zelfs dat je een passphrase gebruikt.
Je kunt invoeren via een toetsenbord of via een woordlijst. Net als bij andere apparaten controleer je de fingerprint om zeker te zijn dat je de juiste wallet opent.
Ngrave Zero: maximale lengte, maximale veiligheid
Ngrave ondersteunt passphrases van 1 tot 512 tekens—de langste van alle grote hardware wallets. Tijdens gebruik wordt de passphrase tijdelijk versleuteld opgeslagen en automatisch gewist zodra het apparaat uitgaat of in standby gaat.
Via de bijbehorende app kun je meerdere passphrase-wallets beheren. Het apparaat heeft bovendien een van de hoogste beveiligingscertificeringen op de markt.
Keystone 3 Pro: volledig air-gapped
Keystone ondersteunt standaard BIP39-passphrases en slaat ze nooit op. Bij elke herstart begin je zonder passphrase en moet je deze opnieuw invoeren. Voor gemak is er een snelle toegang via het vergrendelscherm.
Het apparaat werkt volledig via QR-codes en heeft meerdere secure element-chips, wat het extra bestand maakt tegen aanvallen.
De bottom line
Een passphrase gebruiken is een geavanceerde techniek. Het maakt alles complexer—en complexiteit vergroot de kans op fouten.
Maar als je weet wat je doet—als je je passphrase goed back-upt, gescheiden bewaart van je seed en altijd je wallet controleert—dan biedt een verborgen wallet een niveau van beveiliging dat bijna magisch aanvoelt.
Je seed phrase bewaakt de deur.
Je passphrase maakt de kluis onzichtbaar.
Kies je 25e woord zorgvuldig. En slaap daarna een stuk rustiger.