Suggerirei una soluzione che implichi quanto segue:
- File di database KeePass archiviato sul computer locale con crittografia Full Disk (ad esempio, Veracrypt)
- File chiave KeePass memorizzato su un disco USB esterno
- Cloud Storage 1 (ad esempio Dropbox) per contenere il file Database
- Cloud Storage 2 (ad esempio Google Drive) per conservare un backup del file chiave
- Abilita 2FA su entrambi gli account di Cloud Storage (l'app di autenticazione mobile è preferibile rispetto ai messaggi di testo)
Come menzionato da tutti, avere una password master strong per il tuo file di database è molto importante per contrastare gli attacchi di forza bruta. Ma se lo combini con un file chiave, diventa praticamente impossibile alla forza bruta.
Se Cloud Storage 1 è compromesso, il file di database stesso senza il file chiave sarà impossibile da forzare, a meno che non ci sia una seria vulnerabilità alla sicurezza nell'implementazione della crittografia di Keepass.
Se Cloud Storage 2 è compromesso, il file chiave stesso se inutile senza il file di database. È solo un'estensione della tua password principale, non contiene dati.
Direi che sarebbe altamente improbabile che entrambi i Cloud Storage venissero compromessi allo stesso tempo dallo stesso aggressore. Dovresti essere un individuo di alto profilo per questo (ad esempio politico, miliardario, agente segreto ecc.):)
Se non sei uno di quelli sopra e sei disposto a sacrificare un po 'di sicurezza in cambio della facilità di accesso (ad esempio continui a dimenticare dove metti quel maledetto disco USB), quindi archivia entrambi File di database e File chiave su il computer locale. Tuttavia, in questo caso il computer locale diventa il punto debole, se compromesso, l'utente malintenzionato avrebbe accesso al file chiave, quindi dovrebbe solo forzare la master password sul database, quindi è meglio impostarne uno strong. Sarebbe come non usare affatto un file chiave.