Де ви зберігаєте ключовий файл

Не бачу переваг у використанні ключового файлу перед текстовим паролем. З мінусів:

  1. На всіх ваших зовнішніх/внутрішніх знімних і незнімних дисках лежать (у сумі) кілька сотень тисяч різних файлів, що відповідає 16-20 біт різних варіантів, що відповідає трьом-чотирьом символам текстового пароля змішаного регістру.
  2. Файл в єдиному екземплярі дуже легко втратити/пошкодити через сотні різних причин. Ви стали б тримати щось цінне в сейфі, єдиний ключ від якого зроблений з цукру?
  3. Файл у безлічі екземплярів - все одно, що розкидати по двору копії ключа від квартири.
  4. Файл-ключ дає хибне почуття вищої надійності та/або криптостійкості (ні те, ні інше неправильно).

Найкраще використовувати сертифікат замість ключового файлу .

Олексій Константинов: знання пароля без ключового файлу вам теж нічого не дасть Воно дасть повну та остаточну втрату доступу до всієї бази у разі випадкового пошкодження/втрати носія з файлом-ключом. А ідея тримати ключ у хмарі - це все одно що єдиний ключ від сейфа з коштовностями постійно зберігати в шафці роздягальні в сауні.

Сертифікат? А про який сертифікат йдеться?

Олексій Константинов: Знайшов плагін, про який мова. З опису:

Натисніть KeePass для використання RSA certificates from Windows certificate store as master key source. По-перше, я не користуюся Windows. По-друге, використовувати як ключ для KeePass відкритий ключ, який згенерований на основі закритого, який лежить у файлі поруч, нічим не безпечніше ніж просто відкривати KeePass секретним ключем з файлу (з усіма наведеними вище недоліками). Тільки не кажіть, що "Windowsнадійно зберігає. - якщо ключ не треба кожного разу заново вводити, значить він десь лежить у відкритому вигляді. >згенеровані нові ключі - ці ключі не відкривають базу KeePass!Як взагалі можна довіряти такій закритій і заплутаній речі як ОС Windows?

Олексій Константинов: Щодо ключа у хмарі: ОК, ми його шифруємо, а пароль зберігаємо. у KeePass, який неможливо відкрити без цього ключа! Ні, ми зберігаємо його в голові, а генеруємо 16-значну цифробуквенную послідовність у генераторі в KeePass, але забувши лише одну цифру ми втрачаємо все! Або ми складаємо пароль зі свого прізвища і дати народження (як це роблять секретарки), тоді ми фактично даруємо хмарі наш файл-ключ, а разом з ним і всю основу. Чим усе це краще варіанта без файлу ключа, крім того, що цей варіант заплутаний?

І ще: якщо в хмарі зберігається єдиний екземпляр ключа, то його втрата означає втрату всієї бази (а втрата доступу до хмари іноді трапляється з далеких від криптографії причин). Якщо ключ у безлічі копій валяється на різних носіях, цей варіант знову ж таки аналогічний варіанту взагалі без файла-ключа однією паролі.