Bei der Verschlüsselung einer Datenbank kann man ein sogenanntes Keyfile benutzen.
Ein Keyfile kann jede beliebige Datei sein, der Inhalt ist unerheblich.
Es kann zusätzlich zu einem Passwort gewählt werden oder auch alleine.
Bei der Verschlüsselung wird aus der Datei ein Hash gebildet und mit diesem die Datenbank verschlüsselt. Näheres siehe hier oder hier.
Das Keyfile muss, da es zur Ver- und Entschlüsselung gebraucht wird, immer bei der Datenbank dabei sein, allerdings nicht unbedingt auf dem selben Medium oder gar im selben Verzeichnis!
Bei der Wahl der Datei ist darauf zu achten, dass sie möglichst unauffällig ist (nicht keyfile.txt nennen) und dass sie unter keinen Umständen mehr verändert werden darf, denn dann ändert sich auch ihr Hash und sie wird wertlos (eine ggf. damit verschlüsselte Datenbank kann dann nicht mehr geöffnet werden).
Bei der Verschlüsselung nur ein Keyfile zu verwenden ist zwar einfach, da man sich das Merken des Passwortes spart, aber eher unsicher sollte mit der Datenbank auch gleich das Keyfile "verloren" gehen. Ein möglicher "Finder" z.B. des USB-Sticks bräuchte nur alle Dateien auszuprobieren um letztlich an die Daten heranzukommen.
Ich empfehle daher entweder beides, ein Keyfile und ein Passwort zu benutzen, oder zumindest das Keyfile separat von der zugehörigen Datenbank aufzubewahren.