存储 Keepass DB 文件的最佳位置是您最方便的地方。使用足够强的密码，您甚至可以在网上公开发布您的数据库，并且晚上仍然睡得很好。只要确保：

1. 使用非暴力破解不可猜测的长密码（20+ 个字符）。
2. 设置用于从密码生成密钥的大量迭代。（我使用了 500 万次迭代。）

我个人喜欢将我的 Keepass 数据库存储在 Google Drive 中，因为它允许我从手机和笔记本电脑轻松访问我的数据库。作为奖励，每次我更新它时它也会自动进行版本控制。提示：如果您确实使用 Google Drive 或其他为您版本文件的服务，我建议您在每次更改主数据库密码时删除版本历史记录（或删除文件并重新上传）。

理论上，您可以将数据库文件存储在任何地方，它使用自己的密码（或密钥文件）加密。

如果您担心有人试图猜测您的密码或以其他方式闯入它，您可以使用任何其他有信誉的加密方法对其进行第二次加密。GPG/PGP 很好，或者是 TrueCrypt 的继任者，或者是 dm-crypt/LUKS 容器（虽然 LUKS 通常 > 2MB，但 KeePass 数据库可能小于 100k），有很多可供选择。

再加密文件第 3 次、第 4 次......第 n 次应该会增加您的保护（前提是加密本身没有被破坏），但它也会增加您必须记住的密码短语/密钥文件的数量，以及解密它们的时间.

如果有人修改了 KeePass 数据库文件，即使有一个字节的差异，KeePass 也会注意到并警告您。我尝试在中间修改一个字节，它抱怨：

打开数据库时出现以下错误：
哈希测试失败。
密钥错误或文件损坏。

修改第一个字节抱怨：

打开数据库时出现以下错误：
错误签名

修改 gpg 文件中的字节会产生类似的抱怨（但仍会解密文件，更改了大约 8 位 - 然后 KeePass 会再次抱怨拒绝打开它）：

gpg：警告：加密信息已被篡改！

您也可以始终保留自己的文件校验和/哈希（sha 和很流行，md5sum 仍然存在，即使 CRC32 也应该检测到损坏），只是为了验证它没有改变。

一些事情：

1. 将主密码短语而不是密码保存在不在云中的某个地方。

2. 如果您计划在云中保存其他格式/位置的副本（例如保险箱），请考虑使用某种形式的 pki，这样也更容易发现妥协。如果有人想用它来搞笑，那么键（PGP/PKCS 或类似的）会在玩金丝雀所需的方面时搞砸了。

3. 查看 KeePass 应用程序内部和外部的速率限制

4. 如果可能的话，对于联网设备或单独的硬盘驱动器，可以对允许访问的用户和凭据设置锁定。

5. 响铃：如果您受到损害、疾病、俘虏或其他任何事情，受信任的一方是否可以在不向他们提供您的个人密钥或完全访问权限的情况下访问，除非需要（例如律师、医生）