Operation Alby Master Passwortloses Login & Lightning Convergence
Passwörter sind ein Relikt der Pre-Bitcoin-Ära. Du erzeugst ein Geheimnis, gibst es einem Server, und hoffst, dass er es nicht verliert, verkauft oder hacken lässt. Jedes Passwort ist ein Vertrauensvorschuss an eine zentrale Instanz. Jeder Data Breach beweist, dass dieses Vertrauen regelmäßig missbraucht wird.
Alby eliminiert das Passwort-Paradigma. Statt eines geteilten Geheimnisses nutzt du kryptografische Signaturen. Dein Private Key (nsec) verlässt niemals dein Gerät. Websites verifizieren nur deine Signatur. Sie können deine Identität bestätigen, aber niemals stehlen. Der gleiche Mechanismus ermöglicht nahtlose Lightning-Zahlungen: Ein Zap ist nur ein Klick.
Diese Operation vereint Identität und Kapital in einer souveränen Architektur. Am Ende loggst du dich passwortlos ein und zappst ohne Reibung, während dein nsec auf Hardware-Level geschützt bleibt.
The Sovereign Bridge
⏱ 5 minDie Alby Extension ist ein Thin Client. Der eigentliche Tresor ist dein Alby Hub.
Ausrüstung
Alby Hub
Self-hosted oder Cloud-Instanz
Privacy Browser
Mullvad Browser oder LibreWolf
Hardware Wallet
BitBox02 oder Coldcard (NIP-46)
Alby Extension v3.9.2+
Chrome/Firefox Add-on
Hub Synchronization: Remote Wallet verbinden
⏱ 3 minInstalliere die Alby Extension aus dem Browser Store. Beim ersten Start: Wähle Connect Remote Wallet statt lokaler Einrichtung. Gib deine Hub-URL ein oder scanne den QR-Code aus deiner Alby Hub Instanz. Die Extension fungiert ab sofort als Interface, nicht als Speicher. Dein nsec bleibt serverseitig verschlüsselt.
Für maximale Souveränität: Hoste deinen Alby Hub selbst auf einem VPS (Docker) oder lokalen Node. Die Cloud-Instanz ist komfortabler, aber zentralisiert. Self-Hosting eliminiert jeden custodialen Vektor.
Mobile Strategy: Willst du Alby auch auf dem Smartphone im Browser nutzen? Der Kiwi Browser oder Mises Browser (Android) unterstützen Chrome-Extensions nativ. So nimmst du dein passwortloses Login-System mit in den mobilen Alltag.
Hardware Signer Pairing: NIP-46 Remote Signing
⏱ 2 minNavigiere zu Einstellungen → Hardware Signer. Verbinde deine BitBox02 oder Coldcard via USB. Die Extension erkennt den Signer automatisch. Bestätige die Kopplung auf dem Hardware-Gerät. Ab diesem Moment signiert die Hardware, der Browser fragt nur an. Dein nsec verlässt niemals den Secure Chip.
NIP-46 (Remote Signing) ist seit v3.9.2 nativ integriert. Bei Browser-Exploits sieht ein Angreifer nur verschlüsselte Blobs. Ohne Hardware kein Zugriff. Das ist der Goldstandard.
Wer seinen nsec lokal in der Extension speichert, macht seinen Browser zum Single Point of Failure. Jede bösartige Extension, jeder Browser-Exploit, jeder Phishing-Angriff hat direkten Zugriff auf deine gesamte digitale Identität.
Die Regel: Nutze immer Hardware-Signing (NIP-46) oder verbinde dich mit einem Remote Hub. Die lokale Speicherung existiert nur für Testzwecke. In einer Produktivumgebung ist sie ein Sicherheitsversagen.
nsec Isolation
⏱ 5 minDein Unlock-Passcode schützt die Extension. Aber der echte Schutz liegt eine Ebene tiefer.
Unlock Drill: Master-Passcode & Auto-Lock
⏱ 1 minNavigiere zu Einstellungen → Sicherheit. Setze einen starken Unlock Passcode (min. 12 Zeichen, zufällig generiert). Aktiviere Auto-Lock und setze den Timer auf 15 Minuten. Nach Ablauf muss der Passcode erneut eingegeben werden. Dies schützt gegen physischen Zugriff auf einen entsperrten Browser.
Der Unlock Passcode verschlüsselt die lokale Kommunikation mit dem Hub. Er ist nicht identisch mit deinem nsec. Selbst mit gestohlenem Passcode benötigt ein Angreifer noch Zugriff auf den Hub oder die Hardware.
Sovereign Login (NIP-98): Passwortlos einloggen
⏱ 2 minÖffne eine NIP-98 kompatible Website (z.B. Primal, Damus Web, oder GitHub Beta). Klicke auf Login with Nostr. Die Alby Extension öffnet ein Popup: Sign Event? Bestätige. Die Website verifiziert deine Signatur und du bist eingeloggt. Kein Passwort wurde übertragen, kein Geheimnis wurde geteilt.
NIP-98 nutzt HTTP Auth via Nostr Events. Du signierst eine Challenge, die Website prüft deine Signatur gegen deinen npub. Falls die Hardware-Wallet verbunden ist, signiert sie, nicht die Extension.
Frictionless Entry
⏱ 5 minLogin ist nur die Hälfte. Budgets machen Zahlungen reibungslos, ohne die Kontrolle zu verlieren.
Budget Deployment: Automatisierte Zap-Limits
⏱ 2 minÖffne die Alby Extension → App Budgets. Wähle eine Website (z.B. primal.net) und setze ein tägliches Limit: 5.000 Sats/Tag. Aktiviere Auto-Confirm für Zaps unter 500 Sats. Zaps innerhalb des Budgets werden instant ausgeführt, ohne Bestätigungs-Popup. Größere Beträge erfordern manuelle Freigabe.
NWC v2 Budgets sind per-site und per-action konfigurierbar. Du kannst Read-Only-Zugriff für manche Sites erlauben, Send-Zugriff nur für andere. Granularität ist der Schlüssel zur Kontrolle.
Permission Audit: Least Privilege durchsetzen
⏱ 2 minNavigiere zu Einstellungen → Berechtigungen. Prüfe alle Sites, die WebLN-Zugriff haben. Entferne jede Site, die du nicht aktiv nutzt. Das Prinzip: Least Privilege. Jede Berechtigung ist ein potenzieller Angriffsvektor. Weniger ist sicherer. Führe diesen Audit wöchentlich durch.
Im Mullvad Browser: Prüfe zusätzlich unter Sites → Permissions → USB Devices, dass WebUSB erlaubt ist. Ohne diese Berechtigung kann die Hardware-Wallet nicht signieren.
The Vault Logic: Dein Alby Hub dient nun als Single Source of Truth. Durch NWC v2 kannst du dasselbe Guthaben und dieselbe Identität gleichzeitig in der Browser-Extension, in Desktop-Apps und mobilen Nostr-Clients (Damus/Amethyst) nutzen, ohne jemals deinen nsec exponieren zu müssen.
The Magic Zap: Test-Zahlung
⏱ 1 min
Öffne getalby.com/test. Führe einen WebLN-Test durch: Login via NIP-98, dann Zap 100 Sats. Die Zahlung sollte instant abgewickelt werden, ohne Passwort-Eingabe, ohne manuelles Kopieren von Invoices. Wenn der Zap ankommt, ist dein Setup vollständig konvergiert.
Alby + Hub
Souverännsec auf Hardware/Hub. Kein Server-Geheimnis. Signatur-basierter Login. Full Audit 2025.
Alby Cloud
Semi-Custodialnsec verschlüsselt bei Alby. Komfortabel, aber Vertrauen in Drittpartei erforderlich.
Google/OAuth
Data-MiningZentrale Kontrolle. Cross-Site Tracking. Passwort beim Provider. Du bist das Produkt.
Quelle: Alby Security Audit Q4 2025, Privacy Guides Comparison
Die Mathematik der digitalen Signatur
Passwort-basiertes Login: Du teilst ein Geheimnis mit dem Server. Der Server speichert es (hoffentlich gehasht). Bei jedem Breach wird das Geheimnis kompromittiert. Signatur-basiertes Login (NIP-98): Du besitzt einen Private Key, der Server kennt nur deinen Public Key.
Die Verifizierung ist asymmetrisch. Der Server kann prüfen, ob die Signatur gültig ist, aber er kann sie nicht selbst erzeugen. Selbst bei vollständiger Kompromittierung des Servers bleibt dein nsec sicher. Der Server hat nie etwas besessen, das er verlieren könnte. Das ist der fundamentale Unterschied.
Quelle: Nostr NIP-98 Spezifikation, Schnorr Signature Theory
Das große Bild: Warum Signaturen wichtiger sind als Passwörter
Passwortloses Login via Nostr ist nur die praktische Anwendung eines tieferen Prinzips: Kryptografische Wahrheit ersetzt institutionelles Vertrauen. Die vollständige Theorie findest du im Monument: Die Physik der Wahrheit.
Monument lesen →Das Alby-Mantra
Kein Passwort. Kein Vertrauen. Nur Mathematik.
Alby Extension holen → Zurück zum Command Center
Hinweis: Alby Hub Self-Hosting erfordert technisches Grundverständnis (Docker, VPS). Die Cloud-Variante ist ein akzeptabler Kompromiss für Einsteiger.
BitAtlas ist unabhängig und gibt kuratierte Empfehlungen für Tools, die den höchsten Sicherheitsstandards entsprechen. Souveränität durch Wissen.