你建议我把盖帕斯档案放哪儿？

Question

你把KeePass-DB藏在哪里？

你建议我把盖帕斯档案放哪儿？通常，我的个人文档在我的云帐户--但我不确定这是否安全。使用云来处理这个文件安全吗？我可以通过加密文件来增加另一个(额外的)安全层来进一步保护它吗？一般问题:这有多安全？我需要知道什么风险？

如何处理KeePass密码文件，有几个参数可以决定将其存储在何处。在我看来，如果密码对某人来说真的非常重要，你应该根据以下几个方面做出决定：

• 文件被黑客入侵的风险-如果我们考虑被黑客攻击，我们能做些什么？
• 由于hdd不好而丢失文件的风险--如果您面临磁盘错误，怎么办？当然，-。有更多的事情需要思考
• 如果有人可能会泄露文件
• 如果数据库文件不在野外运行是否更好，
• 可能会有更多的风险和其他风险--你会考虑哪一种“？
• 如果我的云存储帐户被破坏了，那么就可以通过蛮力或其他攻击向量恢复凭证了。

如果有人可能会泄露文件呢？

• 选项；我是否可以进一步保护它，通过加密我要存储在云存储在线中的文件来增加另一层安全性。
• 关于主密码:主密码提供了相当好的安全性，只要我选择一个很难强行使用的密码(长而真正的随机)，
• 另一方面，一个主密码仍然无法与实际的长加密密钥竞争。
• 我们可以通过增加KeePass迭代次数来增加PBKDF2数据库对蛮力的弹性。
• 我们可以在“文件”>“数据库设置”>“安全性”下在KeePass中这样做:就我个人而言，我使用了大约10,000,000轮(2 S延迟)。

好吧--如上所述，我使用了KeePass云组合。密码数据库使用从强主密码派生的密钥加密。即使有人通过云帐户获得加密的密码数据库，强大的主密码也使暴力攻击变得不可行。

如何处理KeePass密码文件？你考虑了哪些论点，来决定把它存放在哪里？

Answer 1

存储Keepass DB文件的最佳位置是对您最方便的地方。有了一个足够强的密码，你甚至可以在网上公开发布你的数据库，晚上也可以睡得很好。只要确保：

1. 使用在蛮力之外不可猜测的长密码(20+字符)。
2. 设置用于从密码生成密钥的大量迭代。(我使用了500万次迭代。)

我个人喜欢将Keepass DB存储在Google中，因为它允许我从我的手机和笔记本电脑轻松地访问我的数据库。作为一个奖励，它也是自动版本，每次我更新它。提示:如果您确实使用了Google或其他为您提供文件版本的服务，我建议您每次更改主DB密码时都删除版本历史记录(或删除该文件并重新上传)。

Answer 2

理论上，您可以将数据库文件存储在任何地方，它是用自己的密码(或密钥文件)加密的。

如果您担心有人试图猜测您的密码或以其他方式侵入它，您可以使用任何其他著名的加密方法第二次加密它。GPG/PGP是好的，或者是TrueCrypt的接班人，或者是TrueCrypt/ LUKS容器(虽然LUKS一般都>2MB，但KeePass数据库可能在100 k以下)，还有很多可供选择的地方。

再加密文件3，4.第九次应该增加您的保护(前提是加密本身没有中断)，但它也会使您必须记住的密码/密钥文件的数量增加一倍，并将它们全部解密。

如果有人修改了KeePass数据库文件，甚至有一个字节差异，KeePass应该会注意到并警告您。我试着在中间修改一个字节，它抱怨道：

打开数据库时发生以下错误: 哈希测试、failed.、密钥错误或文件损坏。

修改抱怨的第一个字节：

打开数据库时发生以下错误: 错误签名

修改gpg文件中的字节会引起类似的抱怨(但仍然会对文件进行解密，修改大约8位--然后KeePass会再次抱怨拒绝打开它)：

gpg:警告:加密的消息被操纵了！

您也可以保留文件的校验和/散列(沙和很受欢迎，md5sum仍然很流行，甚至CRC32也应该检测损坏)，只是为了验证它没有改变。

Answer 3

很少的事情：

1. 保持主passPHRASE而不是passWORD在云中的某个地方。
2. 考虑使用某种形式的pki，如果您计划在云中有其他格式/位置的副本(如安全保管箱)，那么也更容易发现危害。如果有人玩得很有趣，关键(PGP/PKCS或类似的)将是各种各样的混乱，发挥金丝雀所需的方面。
3. 查看KeePass应用程序内外的速率限制
4. 如果可能的话，对于网络设备或单独的硬盘驱动器，可以对用户设置锁和允许访问的凭据。
5. 打牌人:如果你妥协了，生病、被俘虏或其他什么的话，一个可信赖的人有没有办法不给他们你的私钥(S)，或者除非需要的话可以完全访问(例如律师，医生)？