Suppongo che la cosa logica sia pensare al gestore della password come uno strumento, come una macchina o una lavatrice. Conosco la teoria su come funziona la mia macchina: c'è un motore che prende carburante e aria e mette in moto il movimento rotatorio, che guida le ruote. Tuttavia, non conosco i dettagli - ha una sorta di iniezione elettronica di carburante, che consente di regolare la quantità di carburante nel motore ad ogni colpo, che sembra essere una sorta di magia. Questo non importa, però, dato che conosco la funzione chiave della mia auto, che è quella di ottenere da A a B. Posso usarlo per andare da A a B, senza dovermi preoccupare del "come" dettagliato .
Nel caso delle password, conosco una manciata di mine. Posso accedere al mio gestore di password e in pochi altri posti chiave con password lunghe e memorizzate, in pratica, voglio essere in grado di avviare l'accesso ai miei account senza il gestore delle password. Non so quale sia la mia password Paypal, per fare un esempio. Non il più pallido. È solo una lunga serie di personaggi. Tuttavia, proprio come con l'iniezione elettronica della benzina, non importa: posso tranquillamente andare avanti con quello che voglio fare (accedi a Paypal) senza conoscere il dettaglio di come.
Tuttavia, il vantaggio è che chiunque attacca quell'account deve elaborare qualcosa che in realtà non conosce. Non importa se conoscono le mie squadre sportive preferite, programmi TV o libri. Non importa se capita di conoscere un'altra mia password (forse eseguono qualche altro servizio che uso) - non c'è un modello da individuare.
Ora, se riescono a penetrare nella mia password sicura, sì, avrebbero accesso a tutto. Tuttavia, ho attivato 2FA per questo, quindi prima dovevano avere accesso al mio generatore di token. Mi avvisa se ci sono nuovi accessi ad esso. Il mio provider di posta elettronica mi avvisa di comportamenti di accesso insoliti. Ho molte indicazioni che qualcosa non va, molto presto dopo essere entrati. Ho anche una lista di tutti i posti in cui ho bisogno di cambiare una password - il gestore della password stesso. Non devo preoccuparmi di dimenticare un sito.
Se non ti piace l'idea di un servizio cloud per le password, il che è comprensibile, puoi eseguire personalmente il backup del file del database e ricordare una password del DB, o tenerlo su un'unità regolarmente aggiornata memorizzata in una cassastrong. Potresti anche stampare le password e tenerle al sicuro - per la maggior parte delle situazioni moderne, il metodo principale per essere attaccati non è qualcuno seduto al tuo computer, ma qualcuno seduto al loro computer, dall'altra parte del mondo. Probabilmente non saranno in grado di entrare nella tua cassastrong! (Ovviamente, se stai parlando di attaccanti di stato-nazione, le tue precauzioni potrebbero essere diverse, ma in questo caso, devi preoccuparti anche di altre cose.)