KeePass：キーファイルまたは通常のパスワードを使用しますか？

私はKeePassデータベースを設定していますが、キーファイルを使用する機能を提供します。これは、より長く複雑なパスワードを使用できるためより安全であると言いますが、開くにはキーファイルのみが必要であるため簡単に壊れますデータベース。キーファイルは2台のコンピューター（1台のデスクトップと1台のラップトップ）でのみ使用しますが、どちらが最適なオプションですか？

ランダムパスワードに近いものを思い出すのに苦労しているため、キーファイルを使用する方が間違いなく魅力的であることに注意してください。

KeePassで「key files」を使用する機能について。

ブロック暗号の256ビットキーを生成するために、Secure Hash Algorithm SHA-256が使用されます。このアルゴリズムは、ユーザーが提供するユーザーパスワード（パスワードまたはキーファイル、あるいはその両方で構成される）を256ビットの固定サイズキーに圧縮します。この変換は一方向です。つまり、ハッシュ関数を逆にしたり、同じハッシュに圧縮される2番目のメッセージを見つけることは計算上実行不可能です。

最近発見されたSHA-1に対する攻撃は、SHA-256のセキュリティには影響しません。SHA-256は依然として非常に安全であると考えられています。

（別の最新の更新がありますが、そのようなニュースはここでは関係ないと思います）。
手元に、

キーの派生：
パスワードのみを使用する場合（キーファイルを使用しない場合）、パスワードと128ビットのランダムソルトをSHA-256を使用してハッシュし、最終キーを形成します（ただし、前処理があります：辞書攻撃に対する保護）。ランダムソルトは、事前に計算されたハッシュに基づく攻撃を防ぎます。

パスワードとキーファイルの両方を使用する場合、最終キーは次のように導出されます。SHA-256（SHA-256（パスワード）、キーファイルの内容）、つまりマスターパスワードのハッシュはキーファイルのバイトと結果のバイトに連結されます文字列は再びSHA-256でハッシュされます。キーファイルに正確に32バイト（256ビット）が含まれていない場合、SHA-256でハッシュされて256ビットキーを形成します。上記の式は、SHA-256（SHA-256（パスワード）、SHA-256（キーファイルの内容））に変わります。

あなたのパスワードは少し弱い（より良いあなたの記憶のために）になるだろうと思うなら、キーファイルは、良い第二の要因です。 したがって、両方を（一緒に）使用してください。

全体のポイントはパスワードを安全に保つことなので、これは簡単なパスワードです。キーファイルを使用し、パスワードデータベースの制御を失うと、パスワードがすべて公開されます。

両方を使う。キーファイルをフラッシュドライブに保管し、常に持ち歩いてください。しかし、デスクトップのどこかではありません（付箋にパスワードを書くのと同じです）。暗号化されたHDDパーティション（truecryptを使用）にこの方法を使用しています。だから誰かがまだ何らかの方法でパスワードを取得しているのなら、キーファイルも必要です。

パスワード管理の初心者向け：
パスワードのみ
なぜですか？
ファイルの（誤）管理の懸念を半分に減らし、1つのファイルに制限します。
KeepassX .kdbx dbは、64文字の混合パスワードで保護できます。長く安全なパスワードを作成するための十分な範囲です。
これは、（頭の中の）（強力な）パスワードが主な焦点であることを強調するのに役立ちます（キーファイルなどを保存した場所ではありません）。
パスワードを覚えるのに苦労している場合（もちろん、私たちは皆そうです）、パスワードマネージャー（KeepassXなど）を使用してください。

キーファイルの使用を選択しました。キーファイルを保存するために特別に使用されるメールアカウントも作成しました（たとえば、e-bankingアカウントにアクセスするたびにUSBフラッシュを持ち歩くのは嫌です）。

使用しているコンピューターが個人用ではない場合は、キーファイルを使用するコンピューターでその電子メールアカウントにログインしてから、.kdbxの最新バージョンを持つ別の電子メールアカウントにログインしますファイル。

最後に、KeePassをダウンロードしてPCにインストールし、データベースパスワードとともにキーと.kdbxを使用します。

もちろん、使用しているPC上の.kdbxとキーファイルの両方を消去します。