Где вы храните ключевой файл?

Тут имеется ввиду использование пароля совместно с ключевым файлом.
Ключевой файл сформирован так, что его можно восстановить в ручную, в течении дня, по определённому алгоритму. Резервная копия как таковая не особо важна.
Вопрос в том, где хранить так, чтобы хоть минимально скрыть его местоположение, но при этом доступ к нему иметь везде, где есть интернет (иначе эти пароли особо не нужны, естественно)

Михаил:

1. Ключевой файл, сформированный по известному человеку алгоритму, ни чем не лучше (не надежнее и не более криптостойко) пароля в голове этого человека.
   
2. По криптостойкости: Ключевой файл + пароль = максимум(криптостойкость_файла, криптостойкость_пароля) = криптостойкость_пароля.
   
3. По надежности: Ключевой файл + пароль = минимум(надежность_файла, надежность_пароля) = надежность_файла (если не рассматривать вариант забывания пароля).
   
4. Ключевой файл в Сети требует защищенного канала в Сеть, который требует ключи из базы (которая еще не расшифрована) или пароль из головы (этот случай сводится к случаю расшифровки базы по одному паролю, отличается только меньшей надежностью).
   
5. Если ключевой файл возможно сгенерировать локально, то хранение в Сети его копии не повышает ни безопасность, ни надежность такого решения.
   

Алексей Константинов:

знание пароля без ключевого файла вам тоже ничего не даст

Оно даст полную и окончательную потерю доступа ко всей базе в случае случайного повреждения/утери носителя с файлом-ключем. А идея держать ключ в облаке - это все равно что единственный ключ от сейфа с драгоценностями постоянно хранить в шкафчике раздевалки в сауне.

Сертификат? А о каком сертификате речь?

Алексей Константинов: Нашел плагин, про который речь. Из описания:

Allows KeePass to use RSA certificates from the Windows certificate store as master key source.

Во-первых, я не пользуюсь Windows.
Во-вторых, использовать в качестве ключа для KeePass открытый ключ, который сгенерирован на основе закрытого, который лежит в файле рядом, ничем не безопаснее чем просто открывать KeePass секретным ключем из файла (со всеми вышеприведенными недостатками). Только не говорите, что "Windows надежно хранит..." - если ключ не надо каждый раз заново вводить, значит он где-то лежит в открытом виде. Еще хуже если в генерации открытого ключа как-то участвуют какие-то уникальные параметры окружения, тогда получаем: слетела ОС -> была переустановлена -> сгенерированны новые ключи -> эти ключи не открывают базу KeePass! Как вообще можно доверять такой закрытой и запутанной вещи как ОС Windows?

Алексей Константинов: По поводу ключа в облаке: ОК, мы его шифруем, а пароль храним... в KeePass, который невозможно открыть без этого ключа! Нет, мы храним его в голове, а генерируем 16-значную цифробуквенную последовательность в генераторе в KeePass, но забыв всего одну цифру мы теряем все! Или мы сочиняем пароль из собственной фамилии и даты рождения (как это делают секретарши), тогда мы практически дарим облаку наш файл-ключ, а вместе с ним и всю базу.
Чем все это лучше варианта без файла ключа, кроме того, что этот вариант боле запутанный?

И еще: если в облаке хранится единственный экземпляр ключа, то его утеря означает потерю всей базы (а потеря доступа к облаку иногда случается по причинам далеким от криптографии). Если ключ во множестве копий валяется на разных носителях, то этот вариант опять же аналогичен варианту вообще без файла-ключа на одном пароле.

Алексей Константинов: nirvimel: ключи все же лучше использовать, но содержимое должно быть не стандартным, как и название, расширение файла. Интересная статья по взлому KeePass баз https://defcon.ru/penetration-testing/3353/