就个人而言，我建议将文件密钥存储在本身具有保护的东西上，例如Apricorn FIPS 140-2 Level 3 验证的闪存驱动器，其中许多允许您设置蛮力保护，即有多少坏输入的 PIN 码直到驱动器自行擦除。

FIPS 140-2 3 级验证还表明有一些保护措施可以防止物理拆卸它以获得关键的安全参数。

把它放在一个漂亮的保险箱里，你就会尽你所能，除了你自己的操作系统托管 KeePass/Veracrypt 需要的任何文件副本，当然，但情况总是如此。理想情况下，让 KeePass 机器 100% 脱机，就像 Raspberry Pi2 的以太网插孔充满环氧树脂并且根本没有文件移出（同样，Apricorn 设备在拔下工作后会通过其物理键盘擦除）。

用于身份验证的方法有三种：你知道的东西、你拥有的东西和你是的东西。第一个通常是密码。密钥文件是您拥有的第二个实例。您一起使用的这些方法越多，您的数据库就越安全。

您的问题将是攻击者窃取密钥文件。将它放在单独的 USB 上是一个不错的计划，但攻击者仍然可以窃取它。我总是使用密码和密钥文件。

如果您真的偏执，您可能还想投资硬件代币，例如 Yubikey。这将使攻击者很难提取这部分密钥，即使他们窃取了密钥本身。