Краткий ответ
Математически 24 слова безопаснее (256 бит энтропии vs 128 бит), но 128 бит уже далеко за пределами любого мыслимого порога брутфорса для текущих и обозримых вычислений. Преимущество 24 слов реально, но теоретическое — релевантно для пост-квантовых сценариев и некоторых институциональных установок. Для индивидуальных холдеров практическая разница в безопасности по существу нулевая. 12 слов короче, легче транскрибировать, менее склонны к ошибкам.
Почему 128 бит "достаточно"
BIP-39 специфицирует 12 слов = 128 бит энтропии + 4 бита checksum; 24 слова = 256 бит + 8 бит checksum. Единственная атака — угадывание. 2^128 ≈ 3,4 × 10^38. Предположим, что каждый GPU на Земле (около 1 миллиарда) пробует 10 миллиардов хешей в секунду: общее время перебора ≈ 10^12 лет — вселенной в данный момент 1,38 × 10^10 лет. Математика не становится лучше от изобретательности.
Поэтому криптографическая литература трактует 128 бит симметричной эквивалентной безопасности как "бессрочно безопасно". Не потому что математически невзламываемо, а потому что никто не переживёт атаку.
Когда 24 слова реально помогают
Три сценария. Первый, пост-квантовый: крупномасштабные квантовые компьютеры, запускающие алгоритм Гровера, эффективно вдвое уменьшают уровень безопасности (128 бит → 64 бит, ломается; 256 бит → 128 бит, всё ещё безопасно). NIST опубликовал пост-квантовые стандарты в августе 2024 года, но практические квантовые атаки на Bitcoin — 2030+ как минимум. Второй, оборона в глубину на институциональном уровне. Третий, BIP-39 passphrase deriv функция (PBKDF2) принимает оба как ввод — 256 бит даёт больше запаса.
Trade-off транскрипции
12 слов материально менее склонны к ошибкам при записи. Стальные backup-пластины с 12 слотами стоят вдвое меньше, чем с 24 слотами. Маржинальный прирост безопасности 24 над 12 не стоит операционного риска для большинства российских холдеров. Ledger и Coldcard по умолчанию 24; MetaMask по умолчанию 12 — оба решения правильны для их аудиторий.
Дополнительное чтение: Приватные ключи и сид-фразы, BIP-39.