Keepassデータベースが2つのロック解除方法を受け入れるようにしますが、必須ではありません

最も簡単な方法（パスワードをあまり変更しない場合、Keepassを使用する場合はおそらく変更します）は、2.xバージョンを使用してデータベースを複製することです。

他の方法はあまりありません。暗号化で何が起こっているかを実際に見ると、1つのキーですべてを暗号化すると、それが暗号化のポイントであるため、別のキーで復号化できないことがわかります。

いずれにせよ、複数のキーを使用しようとすると、キーを確認してから、保存されているキーを使用してデータベースのロックを解除することになりますが、これは非常に安全ではありません。

プログラムが2つの異なる暗号化キーを持つ2つのコピーを同じファイルに保存した場合でも、一方のキーを取得するともう一方のキーを簡単に見つけることができるため、ブルートフォース攻撃が容易になります。また、パスワードを編集するたびに不器用になります。他の鍵を持っています。

Tl; dr：複数のキーを持つことは可能ですが、必要なキーは1つだけで、数学的にはほとんど不可能です。

あなたが持っているもう一つの解決策は、より短いパスワードを取得することです。読む この記事 、AES（Keepassが使用するもの）に関して、fluffy is puffyのような単純なパスワードは、それらの単語が非常に単純であっても、解読するのにおそらく3900万年かかるでしょう。

比較すると、Keepassはデフォルトでパスワードを6,000回ハッシュします（200万に設定しても、ほとんど汗をかきません）。これにより、あらゆる種類の数学的トリックが役に立たなくなります。 passwd.me の発音可能およびlower + upper + num設定を使用して、tahter.3usanduのように、習得と記憶が簡単で、力ずくで推測するのが難しいパスワードを生成できます。一体、あなたは日本語を学ぶことになるかもしれません:-)。

バージョン2.10以降、KeePassはコマンドラインパラメーター-pw-encをサポートしています。詳細については、 KeePassオンラインヘルプ を参照してください。暗号化された表現でKeePassデータベースのマスターパスワードを受け入れます。

このようにcmdスクリプトを使用します blog-pw-encパラメーターを指定すると、パスワードを入力しなくてもデータベースを自動的に開いたりロックを解除したりできます。このスクリプトをWindowsタスクスケジューラのタスクとして追加します。 「ログオン時」のトリガーを定義します。

このように、KeePassデータベースにはマスターパスワードのみが必要です。マスターパスワードを入力するだけで、他のコンピューターで開くことができます。ただし、自分のコンピューターでは、Windowsユーザーアカウントに依存してデータベースのロックを自動的に解除する安全な方法があります。

サイドノート

• 暗号化された表現を作成するには、データベースのマスターパスワードを持つKeePassエントリにプレースホルダー {PASSWORD_ENC} を使用する必要があります。暗号化された表現は、作成するたびに少し異なります。それにもかかわらず、それは動作します。

  自動入力シーケンスとして、またはcmd://"cmd.exe" /k echo {PASSWORD_ENC}のようなエントリURLとして使用できます。

• Cmdウィンドウがポップアップしないようにするには、次のようにcmdスクリプトをVBSスクリプトでラップします サーバー障害に関する回答 。

• データベースを自動的にロックするようにKeePassを構成した場合は、ローカルコンピューターとリモートコンピューターの「ワークステーションのロック解除時」と「ユーザーセッションへの接続時」のトリガーを追加できます。

• タスクスケジューラのタスクで「ユーザーがログオンしているかどうかを実行する」にチェックを入れないでください。そうしないと、タスクはKeePassUIを起動できません。

• 暗号化は Windows Data Protection API（DPAPI） に依存しています。復号化は、同じマシン/ドメイン上の現在のユーザーに対してのみ可能です。