对于KeepassXC和/或Veracrypt，哪个是最好的“密钥文件”？

Question

我是Mac用户。我打开了一个由Veracrypt生成的密钥文件和一个由KeepassXC生成的密钥文件。他们两人的课文都很短。哪个密钥文件是最好的(即，最随机和更难突破)：一个由Veracrypt生成的还是一个由KeepassXC生成的？

或者:创建我自己的密钥文件是最好的吗？：我可以用TextEdit打开一张照片，复制并粘贴出现在一个空的TextEdit文件中的胡言乱语，保存并使用它作为我的密钥文件。这样更好吗？

我还想知道是否最好使用另一种类型的文件(可能是.jpeg照片)作为密钥文件。我的想法是:由Veracrypt和KeepassXC生成的文件可能很突出(假设有人突破了我的设备并开始寻找)。

有人会建议将文件嵌入图片(隐写)并将其用作密钥文件吗？如何在Mac中嵌入？我对航站楼很熟悉。

提前谢谢你。

Answer 1

老实说，没有最好的。

这一切都是为了保证文件的安全，并保证对它的访问。

我建议使用带有几个(战略上分散的)拷贝的闪存。

至于文件本身的熵，大小比所有文件都大。但解密要花费更多的内存。使用密钥文件的算法无论如何都会散列源数据，所以不要太担心文件本身的熵。只是不要让它可以预测它是什么文件，并确保您不能只是记录下所述文件。

而一个文件只是解密的一个因素，你最好添加另一个(你知道的东西或者你知道的东西)。

密钥文件表示您拥有的东西(连同数据库/加密文件本身)

Answer 2

只要密钥文件足够长且难以猜测，任何事情都会发生。在与您的密码一起使用之前，将对密钥文件的内容进行散列。也就是说，如果它是一个4MB的大JPEG文件，它仍然会被散列到几个字节(与4MB文件相比)。

KeePassXC可以为您生成一个密钥文件，它将是一个由128个随机字节组成的序列。我吃饱了。

密钥文件的目的只是为了“自动”修改一些附加字符到您的密码。这样做的原因是，它将解决各种情况，其中仅一个密码或一个密钥文件将失败。以下是两种这样的情景：

场景1(只有密码，没有密钥文件)

假设您将KeePassXC数据库存储在Dropbox中，而一个流氓Dropbox员工成功地获得了您的密码(或者幸运地猜对了)。这个犯罪者可以简单地用密码解锁你的数据库。如果你也使用一个密钥文件(从来没有上传到Dropbox)，这个流氓Dropbox员工将只使用“一半”你的密码，因此无法解锁你的数据库。另一个经典场景是使用密钥记录器获取密码。使用密钥文件，密钥记录器只接收到“一半”您的密码。

场景2(没有密码，只有密钥文件)

一个小偷闯入你的家，打开你的电脑，用你的密钥文件解锁你的KeePassXC数据库。在这里，一个密码就能阻止小偷。

将密码与密钥文件

相结合

使用密钥文件和密码可以解决上述两种情况。密钥文件是否应该“隐藏”只是一个混淆的问题。一旦场景2中的窃贼在你的房子里，他或她可以简单地尝试所有的文件在你的计算机上(也许使用一些计算机法医诡计，以加快搜索)。但最有可能的是，打开KeePassXC将直接为前面的密钥文件提供路径，因为它通常已经填写好了。

密钥文件的概念是要有一些无法猜测的东西，并且与进行攻击的人物理上分开。另一方面，当有人拥有进入你个人物品的所有物理手段时，密码就会成为一个障碍。

混淆往往是一个薄弱的，欺骗性的保护层，取决于你的威胁场景，也可以避免。这只会增加很少的额外保护，可能会让你的生活变得更艰难，并给你一个被更好保护的错误印象。

使用

的什么密钥文件

再一次，一些足够长和随机的东西就行了。KeePassXC将生成128个随机字节。不要忘记备份你的密钥文件，以防你丢失它！如果您的意图是写下您的密钥文件并将其存储在某个地方，那么可打印的字符可能是个好主意。只要确保它足够长而且随机。在这里，随机意味着一些无法猜测的东西。有一次我用了家里刺绣的文字。这是大约300个字符，我不需要做一个关键文件的备份，因为它是坐在我的墙上。如果发生火灾，我可以去看看我们家的照片来恢复文字。