[Divulgazione: lavoro per AgileBits, i creatori di 1Password]
Come è stato sottolineato da altri, i gestori di password sono soggetti a rischi diversi. Ovviamente sento che usare un gestore di password ben progettato è una buona scelta.
Voglio affrontare il problema "uova in un cestino" che è stato sollevato. Sì, i gestori di password mettono tutte le tue uova in un unico paniere, quindi dovresti vedere quanto bene quel paniere è protetto. Ma guardiamo allo stesso problema di sicurezza (molte uova in un cestino) quando non utilizzi un gestore di password.
Il riutilizzo della password mette anche più uova in un cestino
Supponiamo che Molly (uno dei miei cani) riutilizzi la password 1chaseR4bbits
per dieci diversi siti e servizi. (Molly non è un cane molto intelligente). In tal modo ciascuno di quei dieci siti diventa un uovo nello stesso paniere. Se la sua password viene scoperta, tutti i suoi account su questi siti sono compromessi.
Vediamo ora quanto bene quel cesto di riutilizzo è protetto. È vulnerabile alla cattura della sua password in transito, è vulnerabile al phishing, è vulnerabile alla violazione di uno qualsiasi dei dieci siti e servizi. Infatti, più grande è il cestino (più siti utilizza la password) più è vulnerabile.
Semplicemente, il riutilizzo della password sta mettendo più uova in un cestino molto poco protetto . Un buon gestore di password risolve il problema del riutilizzo della password e ti offre un cestino molto solido.
Miscellanea
Hai elencato gli attacchi di phishing come una minaccia per la master password per un gestore di password. Con 1Password, l'app viene eseguita completamente in locale, quindi c'è poco spazio per un attacco di phishing. Esiste la possibilità che alcuni programmi in esecuzione localmente tentino di falsificare 1Password. Non abbiamo ancora visto niente del genere (ancora) e quindi non abbiamo abilitato contromisure. (Qualcuno ricorda i tasti del sito? Yuck!)
Hai menzionato la difficoltà di mantenere anche un piccolo numero di password forti, memorabili e di tipo. Circa quattro anni fa, ho scritto dei consigli (vedi Verso password migliori per i master ) su come farlo per le poche password che devi ricordare. È un consiglio che vale ancora oggi (ed è stato raccolto da XKCD) e se seguito correttamente rimane strong anche se gli hacker sanno esattamente quale sistema hai usato.