¿Es seguro reforzar la contraseña maestra y mantener el mismo archivo de base de datos keepass? ¿Hay algún rastro residual de la antigua contraseña más débil?
Alternativamente, parece que puedo crear una nueva base de datos con la contraseña segura y luego importar la base de datos antigua directamente desde el archivo kdbx. Eso debería evitar cualquier archivo de residuos sin cifrar.
En general estoy muy contento con el diseño de keepass. Creo que esto necesita ser documentado sin embargo. Este caso no se aborda después de revisar varios de sus documentos, incluida la "ayuda" principal para "Cambiar clave maestra ..." https://keepass.info/help/base/keys.html .. Es interesante que esto sea realmente una preocupación para el cifrado de disco completo de LUKS. Tiene que ver con el protocolo y el gran volumen de información que necesita para administrar. Ese caso está documentado en LUKS, aunque no se lo perderá de ninguna manera.