KeePass: sử dụng tệp chính hoặc mật khẩu thông thường?

Tôi đang thiết lập cơ sở dữ liệu KeePass và nó cung cấp khả năng sử dụng tệp chính, nó bảo mật hơn vì nó có thể sử dụng mật khẩu dài hơn và phức tạp hơn nhưng dễ bị phá vỡ hơn vì bạn chỉ cần mở tệp chính để mở cơ sở dữ liệu. Tôi sẽ chỉ sử dụng tệp chính trên 2 máy tính (một máy tính để bàn và một máy tính xách tay), đó là lựa chọn tốt nhất?

Lưu ý rằng việc sử dụng tệp chính đối với tôi chắc chắn sẽ hấp dẫn hơn vì tôi khó nhớ được bất cứ thứ gì gần với mật khẩu ngẫu nhiên.

Về khả năng sử dụng ' key files' với KeePass .

Để tạo khóa 256 bit cho mật mã khối, Thuật toán băm an toàn SHA-256 được sử dụng. Thuật toán này nén khóa người dùng được cung cấp bởi người dùng (bao gồm mật khẩu và / hoặc tệp khóa) thành khóa có kích thước cố định 256 bit. Chuyển đổi này là một chiều, tức là không thể tính toán được để đảo ngược hàm băm hoặc tìm một thông điệp thứ hai nén đến cùng một hàm băm.

Cuộc tấn công được phát hiện gần đây chống lại SHA-1 không ảnh hưởng đến an ninh của SHA-256. SHA-256 vẫn được coi là rất an toàn .

(có một bản cập nhật gần đây , nhưng tôi nghĩ những tin tức như vậy không liên quan ở đây ).
Đến điểm trong tầm tay ,

Dẫn xuất khóa :
Nếu chỉ sử dụng mật khẩu (nghĩa là không có tệp khóa), mật khẩu cộng với muối ngẫu nhiên 128 bit được băm bằng SHA-256 để tạo khóa cuối cùng (nhưng lưu ý có một số tiền xử lý: Bảo vệ chống tấn công từ điển). Muối ngẫu nhiên ngăn chặn các cuộc tấn công dựa trên băm được tính toán trước.

Khi sử dụng cả mật khẩu và tệp khóa, khóa cuối cùng có nguồn gốc như sau: SHA-256 (SHA-256 (mật khẩu), nội dung tệp chính), tức là hàm băm của mật khẩu chính được nối với các byte tệp chính và byte kết quả chuỗi được băm với SHA-256 một lần nữa . Nếu tệp khóa không chứa chính xác 32 byte (256 bit), thì chúng cũng được băm bằng SHA-256, để tạo thành khóa 256 bit. Công thức trên sau đó thay đổi thành: SHA-256 (SHA-256 (mật khẩu), SHA-256 (nội dung tệp chính)).

Nếu bạn nghĩ rằng mật khẩu của bạn sẽ yếu hơn một chút (và tốt hơn cho bộ nhớ của bạn),
thì tệp chính là yếu tố thứ hai tốt .
Vì vậy, sử dụng cả hai (cùng nhau).

Toàn bộ vấn đề là giữ an toàn cho mật khẩu của bạn, vì vậy đây là một mật khẩu không có trí tuệ: mật khẩu. Nếu bạn sử dụng một tệp chính và bạn mất quyền kiểm soát cơ sở dữ liệu mật khẩu của mình, mật khẩu của bạn sẽ bị lộ.

Sử dụng cả hai. Giữ tập tin chính của bạn trong ổ đĩa flash của bạn và mang nó theo bên mình. Nhưng không phải ở đâu đó trên máy tính để bàn (nó giống như viết mật khẩu trên ghi chú dán). Tôi đang sử dụng cách này để phân vùng ổ cứng được mã hóa của mình (với truecrypt). Vì vậy, nếu bất cứ ai vẫn nhận được mật khẩu của bạn, họ cũng cần keyfile.

Đối với người mới quản lý mật khẩu:
Chỉ mật khẩu
Tại sao?
Nó cắt giảm một nửa mối quan tâm quản lý tệp của bạn (mis) và giới hạn nó chỉ trong một tệp.
Một db KeepassX .kdbx có thể được bảo mật bằng mật khẩu 64 ký tự hỗn hợp. Đó là rất nhiều phạm vi để tạo một mật khẩu dài, an toàn.
Điều này giúp nhấn mạnh rằng mật khẩu (mạnh) (trong đầu bạn) là trọng tâm chính của bạn (không phải là nơi bạn giữ keyfile, v.v.).
Nếu bạn gặp khó khăn trong việc ghi nhớ mật khẩu (tất nhiên, tất cả chúng ta đều làm) sử dụng trình quản lý mật khẩu (như KeepassX) và bạn sẽ chỉ phải nhớ một mật khẩu mạnh.

Tôi đã chọn sử dụng tập tin chính. Tôi cũng đã tạo một tài khoản email được sử dụng riêng để lưu trữ khóa của mình (tôi không thích sử dụng flash USB mỗi lần tôi muốn truy cập vào tài khoản ngân hàng điện tử của mình).

Nếu máy tính tôi đang sử dụng không phải là máy tính cá nhân của tôi, tôi chỉ cần đăng nhập vào tài khoản email đó trên máy tính mà tôi muốn sử dụng tệp chính, sau đó đăng nhập vào một tài khoản email khác có phiên bản .kdbx mới nhất của tôi tập tin.

Cuối cùng, tôi tải xuống KeePass và cài đặt nó trên PC, sử dụng khóa và .kdbx cùng với mật khẩu Cơ sở dữ liệu của tôi và đó là nó!

Tất nhiên, tôi xóa sạch cả tệp .kdbx và tệp chính trên PC được sử dụng.