Supponiamo che tu utilizzi un gestore di password con tutte le possibili funzionalità dei moderni gestori di password: crittografia con una chiave derivata dalla tua password principale, auto-riempimento, cloud o archiviazione locale, estensione browser, applicazioni web e locali, generatore di password casuale, password auto-cambio, ecc.
Ora, supponiamo che tu abbia la scelta tra queste due opzioni:
- memorizzare una password complessa generata in modo casuale direttamente nel deposito crittografato ( KeePass -like, con la possibilità di scegliere per quanto tempo il vault può rimanere in chiaro, o quando chiedere nuovamente la password principale: prima di ogni utilizzo, ecc.)
- memorizza solo il pattern utilizzato per ricavare una password complessa dalla tua password principale ( LessPass -like, con la possibilità di scegliere quando viene derivata la password : subito dopo la decodifica, prima di ogni utilizzo, ecc.)
Infine, supponiamo che i numeri tondi usati dalle funzioni di derivazione (per la chiave di crittografia e la password complessa) siano abbastanza alti perché la derivazione impieghi circa un secondo sulla maggior parte dei dispositivi.
Come scegliere tra questi due?
Quali sono i loro pro e contro?
Quale è il più sicuro in tal caso (riguardante sia la crittografia che l'usabilità)?
Ci sono altri parametri da prendere in considerazione per fare questa scelta (funzionalità, closed o open source, ecc.)?