A maneira mais segura de usar o keepass é separar o arquivo de chave e o banco de dados.
Minha primeira idéia foi usar um cartão USB / flash com o arquivo de chave como se fosse uma chave normal (e DB na caixa de depósito), mas a Apple não gosta de dispositivos de armazenamento externos.
Portanto, apenas soluções Cloud ou Internet podem ser usadas. Uma vez autenticado pelo iOS, geralmente qualquer pessoa pode acessar a caixa de depósito, o Google Drive, etc., porque essas contas são gerenciadas pelo iOS (pelo menos, se você quiser que sua experiência móvel seja pelo menos um pouco fácil)
Meu fluxo de trabalho agora é inseguro para os dois arquivos em uma caixa de depósito. Usar um servidor SFTP na minha rede local funcionaria, mas, até onde eu sei, é muito problemático acessá-lo da Internet (sem IP fixo) e prefiro não abrir minha rede local na Internet. / p>
Depois desse caminho por muito tempo, minha pergunta prática é: alguém sabe um bom fluxo de trabalho seguro para keepass2 DB e arquivos de chave para todos os desktops e dispositivos móveis (iPhone / iPad) dos meus dispositivos?
Uma solução em que não preciso de muitas senhas para fazer login nos serviços para obter minhas senhas.
EDITAR:
Eu reli alguns dos documentos do keepass: link
In order to generate the 256-bit key for the block ciphers, the Secure Hash Algorithm SHA-256 is used. This algorithm compresses the user key provided by the user (consisting of password and/or key file) to a fixed-size key of 256 bits. This transformation is one-way, i.e. it is computationally infeasible to invert the hash function or find a second message that compresses to the same hash. Key Derivation: If only a password is used (i.e. no key file), the password plus a 128-bit random salt are hashed using SHA-256 to form the final key (but note there is some preprocessing: Protection against Dictionary Attacks). The random salt prevents attacks that are based on pre-computed hashes.
When using both password and key file, the final key is derived as follows: SHA-256(SHA-256(password), key file contents), i.e. the hash of the master password is concatenated with the key file bytes and the resulting byte string is hashed with SHA-256 again. If the key file doesn't contain exactly 32 bytes (256 bits), they are hashed with SHA-256, too, to form a 256-bit key. The formula above then changes to: SHA-256(SHA-256(password), SHA-256(key file contents)).
Se eu entendi isso corretamente, ambas as formas, somente senha e senha + arquivo de chave, resultam em uma "chave / hash" de 256 bits. Portanto, a força do DB é a mesma, desde que você tenha uma boa senha. Portanto, a força extra vem do fato de que o atacante precisa do seu arquivo de chave para completar os 256 bits.
Além disso, considerando o link de ataque do dicionário, menção de medidas no link, posso concluir que, dada uma senha adequada, a segurança extra do arquivo de chave não supera a inconveniência neste caso específico?