Hoe je Nostr-sleutels back-uppen zonder ze kwijt te raken

Het meest pijnlijke Nostr-supportverzoek is: "Ik ben mijn nsec kwijtgeraakt, hoe krijg ik mijn account terug." Het antwoord is altijd hetzelfde: dat kun je niet. Geen bedrijf houdt een kopie. Geen cryptografische truc haalt het terug. Het account is weg.

Deze gids zorgt ervoor dat je dat gesprek nooit hoeft te voeren. Drie back-up-strategieën, gerangschikt op veiligheid en praktisch nut, plus de specifieke fouten die stil en zeker tot onherstelbaar verlies leiden.

TL;DR. Sla je nsec op in een wachtwoordmanager met end-to-end versleuteling (1Password, Bitwarden, KeePassXC of iCloud Keychain) zodra je client het aanmaakt. Voor identiteiten met hoge waarde voeg je een papieren back-up in een kluis toe. Sla de nsec nooit op in iCloud Notes, Google Keep, een screenshot of een cloud drive waarbij de provider leesbare tekst kan inzien.

Als je er klaar voor bent, claim je @nostr.blog-adres →

Wat je eigenlijk back-up'et

Je Nostr-identiteit is de privésleutel, gecodeerd als een nsec1... Bech32-string. 63 tekens, begint met nsec1. Iedereen die deze string heeft, heeft volledige controle over het account.

Je hoeft geen back-up te maken van:

• De npub (afleidbaar uit de nsec)
• Je profielmetagegevens (herstelbaarheid van relays zolang je events kunt ondertekenen)
• Je volglijst (hetzelfde)
• Je posts (ze bestaan op relays zelfs als je de sleutel kwijtraakt)

Je moet wel back-up maken van:

• De nsec. Alleen de nsec.

Alles volgt uit het hebben van de nsec. Niets volgt uit het hebben van de npub alleen.

Optie 1: Wachtwoordmanager

De standaardaanbeveling voor vrijwel elke gebruiker.

Wat werkt: 1Password, Bitwarden, KeePassXC, Proton Pass, Dashlane, elke wachtwoordmanager die je kluis versleutelt met een hoofdwachtwoord en alleen gecodeerde tekst op de servers van de provider opslaat. Apple's iCloud Keychain voldoet ook; het is end-to-end versleuteld met je apparaatpasscode.

Installatie (voorbeeld 1Password; de stroom is equivalent in anderen):

1. Maak een nieuw item aan, categorie "Secure Note" of "Password."
2. Geef het een ondubbelzinnige titel: Nostr nsec (alice@nostr.blog).
3. Plak de volledige nsec inclusief het nsec1 voorvoegsel in het wachtwoordveld.
4. Opslaan.
5. Controleer of het item wordt gesynchroniseerd op je apparaten door 1Password op een tweede apparaat te openen en dezelfde vermelding te vinden.

Waarom het werkt: De kluis wordt versleuteld met je hoofdwachtwoord voordat het je apparaat verlaat. De provider slaat gecodeerde blobs op en heeft nooit de leesbare tekst. Een inbreuk op de provider lekt versleutelde blobs, niet je werkelijke sleutels.

Waarom het toch kan mislopen: Je vergeet het hoofdwachtwoord; je verliest het accountherstel (sommige managers hebben een herstelpakket-PDF die je afdrukt, anderen niet); je apparaat is gecompromitteerd terwijl de kluis ontgrendeld is en een aanvaller de items exporteert.

Oplossing voor de zwakheid: Bewaar je hoofdwachtwoord ergens fysiek en gescheiden. Schakel alle herstel- en 2FA-opties in die de wachtwoordmanager biedt. Sla het hoofdwachtwoord niet op in een gesynchroniseerde notitie.

Optie 2: Papieren back-up

De veerkrachtigste optie tegen digitale storingen. Werkt wanneer alles elektronisch bezwijkt.

Installatie:

1. Open een teksteditor en typ de nsec exact (of gebruik de "export key" functie van de client als beschikbaar om een QR-code te genereren).
2. Print naar papier op een betrouwbare printer. Maak geen screenshot; screenshots belanden in cloud-foto's.
3. Schrijf op het papier: de accountnaam, de datum en (optioneel) waar je het hebt back-up.
4. Sla op in een locatie die je fysiek vertrouwt: een thuiskluis, een veiligheid deposito, een op slot zittende lade. Niet in een notitieboek op je bureau, niet in de eerste lade die iemand zou openen.

Waarom het werkt: Een papieren kopie staat niet online. Niemand kan het op afstand exfiltreren. Het overleeft het verliezen van je telefoon, laptop, cloud provider en internetverbinding tegelijk.

Waarom het kan mislopen: Water, vuur, iemand die het vindt. De standaardoplossingen zijn een vuurvaste kluis, een stalen back-upplaatje (dezelfde als Bitcoin-seedfrase-gebruikers kopen) of twee kopieën op twee verschillende fysieke locaties opslaan.

Stalen back-upplaatjes zijn een upgrade als de identiteit hoge waarde heeft. Ze overleven vuur, water en een decennium luchtvochtigheid. Een basisplaatje kost ongeveer €20. Je slaat de nsec in rijen metaal in met een punch. Overdreven voor de meeste mensen, redelijk voor een Nostr-identiteit gebonden aan werkelijk inkomen.

Optie 3: Hardware-signer

De technisch sterkste optie. Meest complex om in te stellen.

Wat het is: Een apparaat dat de nsec bevat en events op afstand ondertekent, zonder dat de nsec ooit het client-apparaat aanraakt. Je telefoon of laptop spreekt met de signer over een beveiligd kanaal (Bluetooth, USB of een versleutelde relay-subscription), stuurt het een event om te ondertekenen en krijgt het ondertekende event terug.

Opties in 2026:

• Amber (Android) is een speciale Nostr-signer-app die op een apart telefoon draait en signeringsverzoeken ontvangt via een lokaal kanaal.
• Remote-signer "bunker"-apps draaien ergens waar je vertrouwt (je eigen server, een vertrouwd apparaat) en ontvangen signeringsverzoeken via Nostr zelf met behulp van NIP-46.
• Hardware wallets met Nostr-ondersteuning (sommige Coldcard-firmware, sommige Jade-firmware en speciale projecten zoals Seedsigner) kunnen Nostr-events als bijkomstigheden ondertekenen.

Waarom het werkt: De nsec verlaat nooit de signer. Zelfs als je telefoon of laptop volledig is gecompromitteerd, kan de aanvaller de sleutel niet stelen omdat ze er geen toegang toe hebben. Maximaal kunnen ze de signer overtuigen om kwaadaardige events te ondertekenen, maar alleen terwijl ze actieve verbinding hebben.

Waarom het moeilijk is: Installatie is meer betrokken dan een wachtwoordmanager. Je hebt een tweede apparaat of bunker-implementatie nodig. De meeste mobiele clients ondersteunen remote signers nog niet als eersteklas burgers. Minder gebruikers volgen dit pad, maar degenen die dat doen, zijn degenen met de hoogste veiligheidseisen.

Waar je de nsec niet moet opslaan

Elk item in deze lijst heeft een supportverzoek voortgebracht dat eindigde in "je account is weg." Vermijd ze allemaal.

• iCloud Notes. Apple slaat de notitie-inhoud op in een vorm die ze kunnen lezen. Niet end-to-end versleuteld. Een inbreuk op iCloud betekent een inbreuk op je Nostr-identiteit.
• Google Keep. Hetzelfde probleem, met Google.
• Screenshots in Camera Roll. De screenshot synchroniseert automatisch naar iCloud Photos of Google Photos in leesbare tekst. Zelfs als je het van je telefoon verwijdert, behouden cloud providers vaak recente kopieën.
• E-mailconcepten of zelf-e-mails. Je e-mailprovider kan concept- en verzonden e-mail lezen. Als ze worden gehackt (en verschillende grote providers zijn dit in het afgelopen decennium gebeurd), zit de nsec in de leak.
• Telegram "Opgeslagen berichten" of elke chat-zelf-DM. Telegram's standaardchats zijn niet end-to-end versleuteld. Signal is beter, maar niet ontworpen als wachtwoordback-up.
• Een gewoon tekstbestand op Dropbox, Google Drive, iCloud Drive, OneDrive. De provider kan het bestand lezen. Een inbreuk op de provider lekt je nsec.
• Je ingebouwde browserwachtwoordmanager als deze niet E2E-versleuteld is. Controleer of de jouwe dat is. Safari iCloud Keychain is dat; sommige Chrome-profielwachtwoorden niet tenzij je de on-device versleutelingsfunctie inschakelt.

De verenigende regel: als de provider in principe leesbare tekst kan lezen, sla je nsec daar niet op. Als de provider alleen gecodeerde tekst kan lezen, is de locatie acceptabel.

Een realistisch twee-back-up-schema voor de meeste gebruikers

Wat we aanbevelen als je goede maar niet paranoïde veiligheid wilt:

1. Wachtwoordmanager met de nsec als Secure Note of Password-item. Dagelijks-gebruik herstellingspad.
2. Papieren back-up afgedrukt en opgeslagen op een specifieke fysieke locatie. Noodherstelling.

Totale instellingstijd: tien minuten. Totale terugkerende kosten: nul. Totale bescherming tegen routineus sleutelverlies: erg hoog.

Voor identiteiten met hoger inzet voeg je toe:

• Een tweede fysieke kopie op een ander moment (kluis van een vertrouwd familielid, veiligheidsdepot)
• Een stalen plaatje back-up in plaats van papier
• Een hardware- of remote signer als dagelijks-gebruik pad, met de nsec back-up gereserveerd als noodherstel

Fouten die accounts verliezen, gerangschikt op hoe vaak ze voorkomen

Vanuit werkelijke supportdraden over het Nostr-ecosysteem:

1. "Ik backup het later." De enige meest voorkomende oorzaak van permanent verlies. De "later" komt niet voor de telefoon wordt gewist, verloren of geüpgraded.
2. Één locatie vertrouwen. Telefoon in het zwembad, keychain reset na veiligheidsgeval, wachtwoordmanager-account vergrendeld. Twee kopieën in twee verschillende soorten opslag lost dit op.
3. De back-up niet labelen. Een wachtwoordmanager met 200 vermeldingen waar een van hen een ongelabelde nsec1... string is, is één mislukte zoekopdracht verwijderd van verlies.
4. De npub gebruiken waar de nsec nodig was. De gebruiker denkt dat ze hebben back-up maar sloot alleen het openbare gedeelte op. Controleer of je back-up begint met nsec1, niet npub1.
5. Screenshots. Één screenshot van het "accountdetails" scherm, automatisch gesynchroniseerd naar een cloud provider, en de nsec zit in iemand anders' datacentrum in leesbare tekst.

Elk van deze is een 30-secondenprobleem om te voorkomen en een permanent probleem om te herstellen. De asymmetrie is de hele reden dat dit artikel bestaat.