So sichern Sie Ihre Nostr-Keys, ohne sie zu verlieren

Die schmerzhafteste Nostr-Support-Anfrage ist „Ich habe meinen nsec verloren, wie bekomme ich mein Konto zurück?" Die Antwort ist immer gleich: Das können Sie nicht. Kein Unternehmen hat eine Kopie. Kein kryptographischer Trick stellt es wieder her. Das Konto ist weg.

Dieser Leitfaden soll sicherstellen, dass dieses Gespräch niemals mit Ihnen geführt wird. Drei Backup-Strategien, nach Sicherheit und Praktikabilität bewertet, plus die spezifischen Fehler, die stumm zu einem unwiederbringlichen Verlust führen.

TL;DR. Speichern Sie Ihren nsec in einem Passwort-Manager mit Ende-zu-Ende-Verschlüsselung (1Password, Bitwarden, KeePassXC oder iCloud Keychain), sobald Ihr Client ihn generiert. Für Identitäten mit hohem Wert fügen Sie ein Papier-Backup in einem Safe hinzu. Speichern Sie den nsec niemals in iCloud Notes, Google Keep, einem Screenshot oder auf einem Cloud-Laufwerk, auf dem der Anbieter Klartext lesen kann.

Wenn du bereit bist, sicher dir dein @nostr.blog →

Was Sie tatsächlich sichern

Ihre Nostr-Identität ist der private Schlüssel, kodiert als ein nsec1... Bech32-String. 63 Zeichen, beginnt mit nsec1. Jeder, der diesen String hat, hat vollständige Kontrolle über das Konto.

Sie müssen nicht sichern:

• Den npub (ableitbar vom nsec)
• Ihre Profilmetadaten (wiederherstellbar von Relays, solange Sie Events signieren können)
• Ihre Follower-Liste (gleich)
• Ihre Beiträge (sie existieren auf Relays, auch wenn Sie den Schlüssel verlieren)

Sie müssen sichern:

• Den nsec. Nur den nsec.

Alles andere folgt aus dem Besitz des nsec. Nichts folgt aus dem alleinigen Besitz des npub.

Option 1: Passwort-Manager

Die Standardempfehlung für fast jeden Benutzer.

Was funktioniert: 1Password, Bitwarden, KeePassXC, Proton Pass, Dashlane, jeder Passwort-Manager, der Ihren Tresor mit einem Master-Passwort verschlüsselt und nur Chiffrat auf den Servern des Anbieters speichert. Apples iCloud Keychain qualifiziert sich auch; es ist end-to-end verschlüsselt mit Ihrem Gerätepasscode.

Setup (1Password-Beispiel; der Ablauf ist in anderen äquivalent):

1. Erstellen Sie ein neues Element, Kategorie „Sichere Notiz" oder „Passwort".
2. Betiteln Sie es mit etwas Eindeutigem: Nostr nsec (alice@nostr.blog).
3. Fügen Sie den vollständigen nsec inklusive des nsec1-Präfix in das Passwortfeld ein.
4. Speichern.
5. Überprüfen Sie, dass das Element über Ihre Geräte synchronisiert ist, indem Sie 1Password auf einem zweiten Gerät öffnen und denselben Eintrag finden.

Warum es funktioniert: Der Tresor wird mit Ihrem Master-Passwort verschlüsselt, bevor er Ihr Gerät verlässt. Der Anbieter speichert Chiffrat und hat niemals den Klartext. Ein Datenleck des Anbieters offenbart verschlüsselte Blobs, nicht Ihre eigentlichen Schlüssel.

Warum es trotzdem fehlschlagen kann: Sie vergessen das Master-Passwort; Sie verlieren den Kontowiederherstellungscode (einige Manager haben ein PDF-Wiederherstellungs-Kit zum Ausdrucken, andere nicht); Ihr Gerät ist kompromittiert, während der Tresor entsperrt ist, und ein Angreifer exportiert die Elemente.

Fix für die Schwachstelle: Speichern Sie Ihr Master-Passwort an einem physischen und separaten Ort. Aktivieren Sie alle Wiederherstellungs- und 2FA-Optionen, die der Passwort-Manager bietet. Speichern Sie das Master-Passwort nicht in einer synchronisierten Notiz.

Option 2: Papier-Backup

Die widerstandsfähigste Option gegen digitale Ausfälle. Funktioniert, wenn alles Elektronische ausfällt.

Setup:

1. Öffnen Sie einen Texteditor und tippen Sie den nsec exakt ein (oder verwenden Sie die Funktion „Schlüssel exportieren" des Clients, falls verfügbar, um einen QR-Code zu generieren).
2. Drucken Sie auf Papier auf einem zuverlässigen Drucker. Machen Sie keinen Screenshot; Screenshots landen in Cloud-Fotos.
3. Schreiben Sie auf das Papier: den Kontonamen, das Datum und (optional) wo Sie es gesichert haben.
4. Speichern Sie an einem Ort, dem Sie physisch vertrauen: ein Heimtresor, ein Schließfach, eine abgeschlossene Schublade. Nicht in einem Notizbuch auf Ihrem Schreibtisch, nicht in der ersten Schublade, die jemand öffnen würde.

Warum es funktioniert: Eine Papierkopie ist nicht online. Niemand kann sie remote exfiltrieren. Sie übersteht den Verlust Ihres Telefons, Ihres Laptops, Ihres Cloud-Anbieters und Ihres Internetzugangs gleichzeitig.

Warum es fehlschlagen kann: Wasser, Feuer, jemand findet es. Die Standard-Fixes sind ein feuerfester Tresor, eine Stahlbackup-Platte (die gleichen, die Bitcoin-Seed-Phrase-Benutzer kaufen), oder das Speichern von zwei Kopien an zwei physischen Orten.

Stahlbackup-Platten sind ein Upgrade, wenn die Identität von hohem Wert ist. Sie überstehen Feuer, Wasser und ein Jahrzehnt Feuchtigkeit. Eine grundlegende Platte kostet etwa $20. Sie stanzen den nsec mit einem Stempel in Reihen von Metall. Für die meisten Menschen Overkill, für eine Nostr-Identität, die mit echtem Einkommen verbunden ist, angemessen.

Option 3: Hardware-Signer

Die technisch stärkste Option. Am komplexesten einzurichten.

Was es ist: Ein Gerät, das den nsec hält und Events remote signiert, ohne dass der nsec jemals das Client-Gerät berührt. Ihr Telefon oder Laptop spricht mit dem Signer über einen sicheren Kanal (Bluetooth, USB oder eine verschlüsselte Relay-Subscription), sendet ihm ein Event zum Signieren und erhält das signierte Event zurück.

Optionen in 2026:

• Amber (Android) ist eine dedizierte Nostr-Signer-App, die auf einem separaten Telefon läuft und Sign-Anfragen über einen lokalen Kanal empfängt.
• Remote-Signer „Bunker"-Apps laufen irgendwo, dem Sie vertrauen (Ihr eigener Server, ein vertrauenswürdiges Gerät), und empfangen Sign-Anfragen über Nostr selbst mit NIP-46.
• Hardware-Wallets mit Nostr-Unterstützung (einige Coldcard-Firmware, einige Jade-Firmware und dedizierte Projekte wie Seedsigner) können Nostr-Events als Nebenjob signieren.

Warum es funktioniert: Der nsec verlässt den Signer niemals. Selbst wenn Ihr Telefon oder Laptop vollständig kompromittiert ist, kann der Angreifer den Schlüssel nicht stehlen, weil er nicht darauf zugreifen kann. Höchstens können sie den Signer täuschen, bösartige Events zu signieren, aber nur während sie aktive Konnektivität haben.

Warum es schwierig ist: Die Einrichtung ist aufwändiger als ein Passwort-Manager. Sie benötigen ein zweites Gerät oder ein Bunker-Deployment. Die meisten mobilen Clients unterstützen Remote-Signer noch nicht als First-Class Citizens. Weniger Benutzer nutzen diesen Weg, aber diejenigen, die es tun, sind diejenigen mit den höchsten Sicherheitsanforderungen.

Wo Sie den nsec nicht speichern sollten

Jede Option in dieser Liste hat eine Support-Anfrage produziert, die mit „Ihr Konto ist weg" endete. Vermeiden Sie alle.

• iCloud Notes. Apple speichert den Inhalt der Notiz in einer Form, die sie lesen können. Nicht end-to-end verschlüsselt. Ein Datenleck von iCloud bedeutet ein Datenleck Ihrer Nostr-Identität.
• Google Keep. Gleiches Problem, mit Google.
• Kamera-Roll-Screenshots. Der Screenshot wird automatisch in iCloud Photos oder Google Photos im Klartext synchronisiert. Selbst wenn Sie ihn vom Telefon löschen, behalten Cloud-Anbieter oft kürzliche Kopien.
• E-Mail-Entwürfe oder Selbst-E-Mails. Ihr E-Mail-Anbieter kann Entwürfe und gesendete Mails lesen. Wenn er gehackt wird (und mehrere große Anbieter wurden dies im letzten Jahrzehnt), ist der nsec im Datenleck.
• Telegram „Gespeicherte Nachrichten" oder beliebige Chat-Selbst-DM. Telegrams Standard-Chats sind nicht end-to-end verschlüsselt. Signal ist besser, aber nicht als Password-Backup konzipiert.
• Eine Klartextdatei auf Dropbox, Google Drive, iCloud Drive, OneDrive. Der Anbieter kann die Datei lesen. Ein Datenleck des Anbieters offenbart Ihren nsec.
• Ihr eingebauter Browser-Passwort-Manager, falls dieser nicht E2E-verschlüsselt ist. Überprüfen Sie, ob Ihrer es ist. Safari iCloud Keychain ist es; einige Chrome-Profilpasswörter nicht, es sei denn, Sie aktivieren die On-Device-Verschlüsselungseinstellung.

Die vereinigende Regel: Wenn der Anbieter im Prinzip den Klartext lesen kann, speichern Sie Ihren nsec dort nicht. Wenn der Anbieter nur Chiffrat lesen kann, ist der Ort akzeptabel.

Ein realistisches Zwei-Backup-Layout für die meisten Benutzer

Was wir empfehlen, wenn Sie gute, aber nicht paranoide Sicherheit wünschen:

1. Passwort-Manager mit dem nsec als Sichere Notiz oder Passwort-Element. Täglicher Wiederherstellungspfad.
2. Papier-Backup gedruckt und an einem bestimmten physischen Ort gespeichert. Disaster Recovery.

Gesamtsetup-Zeit: zehn Minuten. Gesamtlaufende Kosten: null. Gesamtschutz gegen routinemäßigen Schlüsselverlust: sehr hoch.

Für höherwertige Identitäten fügen Sie hinzu:

• Eine zweite physische Kopie an einem anderen Ort (ein vertrauenswürdiger Familiensafe, ein Schließfach)
• Ein Stahlplatten-Backup statt Papier
• Ein Hardware- oder Remote-Signer als täglicher Pfad, mit dem nsec-Backup als Notfall-Wiederherstellung reserviert

Fehler, die Konten verlieren, nach Häufigkeit geordnet

Aus echten Support-Threads im gesamten Nostr-Ökosystem:

1. „Ich werde es später sichern." Die einzelne häufigste Ursache für permanenten Verlust. Das „später" kommt nicht an, bevor das Telefon gelöscht, verloren oder aktualisiert wird.
2. Auf einen Ort vertrauen. Telefon im Pool, Keychain-Reset nach einem Sicherheitsvorfall, Passwort-Manager-Konto gesperrt. Zwei Kopien an zwei verschiedenen Speicherorten lösen dies.
3. Das Backup nicht beschriften. Ein Passwort-Manager mit 200 Einträgen, wobei einer davon ein unbeschrifteter nsec1...-String ist, ist eine gescheiterte Suche entfernt vom Verlust.
4. Den npub verwenden, wo der nsec benötigt wurde. Der Benutzer denkt, er hat gesichert, aber hat nur die öffentliche Hälfte gespeichert. Überprüfen Sie, dass Ihr Backup mit nsec1 beginnt, nicht npub1.
5. Screenshots. Ein Screenshot des „Kontodetails"-Bildschirms, automatisch mit einem Cloud-Anbieter synchronisiert, und der nsec sitzt im Klartext in jemand anderem Datenzentrum.

Jedes einzelne davon ist ein 30-Sekunden-Problem zur Vermeidung und ein permanentes Problem zur Wiederherstellung. Die Asymmetrie ist der ganze Grund, warum dieser Artikel existiert.