Je suggérerais une solution qui implique ce qui suit:
- Fichier de base de données KeePass stocké sur un ordinateur local avec un cryptage complet du disque (par exemple Veracrypt)
- Fichier de clé KeePass stocké sur un disque USB externe
- Cloud Storage 1 (par exemple Dropbox) pour contenir le fichier de base de données
- Cloud Storage 2 (par exemple Google Drive) pour conserver une sauvegarde du fichier de clé
- Activez 2FA sur les deux comptes Cloud Storage (application d'authentification mobile préférable aux codes de message texte)
Comme tout le monde l'a mentionné, il est très important d'avoir un mot de passe principal fort pour votre fichier de base de données pour contrecarrer les brutes attaques forcées. Mais si vous combinez cela avec un fichier de clé, il devient pratiquement impossible d'utiliser la force brute.
Si Cloud Storage 1 est compromis, le fichier de base de données lui-même sans le fichier de clé sera impossible à la force brute, à moins il existe une faille de sécurité sérieuse dans l'implémentation du chiffrement de Keepass.
Si Cloud Storage 2 est compromis, le fichier de clé lui-même est inutile sans le fichier de base de données. C'est juste une extension de votre mot de passe principal, il ne contient aucune donnée.
Je dirais qu'il serait très peu probable que les deux Cloud Storages soient compromis en même temps par le même attaquant. Vous devrez être une personne de haut niveau pour cela (par exemple, politicien, milliardaire, agent secret, etc.) :)
Si vous n'êtes pas l'un des ci-dessus et êtes prêt à sacrifier un peu de sécurité en échange de la facilité d'accès (par exemple, vous oubliez toujours où vous avez mis le maudit disque USB), puis stockez à la fois le fichier de base de données et le fichier de clé sur l'ordinateur local. Cependant, dans ce cas, l'ordinateur local devient le point faible, s'il est compromis, l'attaquant aurait accès au fichier de clé, il aurait donc juste besoin de forcer brutalement le mot de passe principal sur la base de données, il est donc préférable d'en définir un fort. Ce serait la même chose que de ne pas utiliser du tout de fichier clé.