Quando un privato è "protetto da una password", significa semplicemente che i byte chiave, come memorizzati da qualche parte, sono crittografati con una chiave simmetrica derivata da password. Una chiave privata è prontamente codificabile come una sequenza di byte e può essere copiata, crittografata e decrittografata come qualsiasi file. Il punto importante qui è che la password è tutto su storage : quando si usa la chiave privata (ad esempio per firmare qualcosa), allora viene prima decifrata nella RAM di un computer, che poi procede utilizzare la chiave privata non crittografata. Corrispondentemente, non c'è nulla di speciale in una coppia di chiavi RSA che lo renda adatto o non adatto alla protezione tramite password. La protezione tramite password è davvero un problema ortogonale.
Naturalmente, se una chiave privata è mai stata memorizzata su un supporto fisico (ad esempio, un disco rigido) senza alcuna protezione aggiuntiva, potrebbe essersi lasciata tracce utili. I dettagli dipendono molto da quale sistema è effettivamente utilizzato per la memorizzazione delle chiavi private. Ad esempio, i sistemi Windows utilizzano DPAPI per l'archiviazione delle chiavi private dell'utente e DPAPI compie ulteriori sforzi per evitare perdite di chiavi archiviate ( se questi sforzi hanno successo rimane da dimostrare).