Non puoi essere sicuro che il server cancellerà la password prima di memorizzarla. @Rory sottolinea che è un requisito ragionevole che potresti provare a far rispettare con mezzi non informatici, ma non è realistico credere che tutti i server faranno le cose correttamente. La soluzione non è quella di utilizzare la stessa password (o password che possono essere indovinate l'una dall'altra) per due siti distinti.
Le password "distinte" possono essere generate da una "password principale" con una funzione di hash crittografica (ad esempio, hai hash la concatenazione del nome del sito e la password principale - ci sono modi per fallire, ma il principio è valido) . Il software esiste per quello. Oppure puoi memorizzare password generate casualmente in un file, simmetricamente crittografato con una password principale. Il software esiste anche per questo. Potrebbe richiedere diversi moduli (un file crittografato, una connessione SSH a un server che ospita il file della password, un'estensione del browser che utilizza una funzione di hash crittografica; ...).
In ogni caso, è difficile fare solo nella tua testa (maledire quel cervello biologico!), perché richiede di fare calcoli estesi e / o ricordare molti elementi casuali.
Io sostengo, tuttavia, che lo scenario "fallo nel tuo cervello" è non realistico . Perché vorresti calcolare l'intera cosa nel tuo cervello? Questo perché la macchina locale su cui si sta per digitare la password non ha il software necessario installato; è una macchina casuale, diciamo, un cybercafe. Hey aspetta ! Stai per digitare la tua password su una macchina cybercafe ? Una macchina che potrebbe essere piena di keylogger e altri malware? Ora questa è una cattiva idea. Non c'è bisogno di un server scritto male, in queste condizioni: sei abbastanza bravo a fare cose non sicure da solo.
Quindi la necessità di uno schema di derivazione / archiviazione delle password che puoi eseguire "nel tuo cervello" è in realtà una necessità per poter fare qualcosa che è abbastanza stupido, per quanto riguarda la sicurezza. Quindi non farlo. Se non riesci ad accedere a una memoria oa un generatore sicuro per le password per sito, non sei in un contesto in cui potresti utilizzare comunque la password indicata.