Circa un anno fa, ho provato a utilizzare LastPass ma ho trovato l'esperienza utente molto carente, e sono tornato al mio metodo provato e vero di avere solo un sacco di password diverse (qualche riutilizzo della password, ma non ho mai funzionato in problemi con esso) e la mia e-mail ha una passphrase unica, non riutilizzata di 30 caratteri e credo che potrei semplicemente reimpostare la password qualsiasi servizio eventualmente dirottato.
So che questo non è buono e capisco le conseguenze: non si tratta di questo.
Recentemente ho deciso di "hey, diamo un altro colpo ai gestori di password" e questa volta è andato con Firefox Sync (& Master Password).
Da quanto ho notato, crittografa il cryptoblob memorizzato localmente usando una chiave, che è di per sé crittografata usando la password principale. Le password memorizzate sul loro server sono (per qualche motivo) crittografate usando la mia password di Firefox Sync (che è, ovviamente, memorizzata in cryptoblob).
Full disclosure: la mia password di Firefox Sync non è strong come la mia password principale. Se qualcuno l'avesse rubato, in teoria potrebbero scaricare una copia non crittografata della mia password blob su un nuovo dispositivo semplicemente accedendo al mio account. Tuttavia; questo mi richiede di confermare l'accesso dalla mia e-mail. La password per la mia email è, alla data corrente, la stessa passphrase che uso per la mia password master firefox.
Ora, alla domanda: C'è qualcosa di intrinsecamente meno sicuro nell'usare una passphrase lunga e umanamente memorabile (la mia password principale) per la mia e-mail (richiesta per scaricare il mio cryptoblob) piuttosto che avere una password sicura per i dati archiviata in detto cryptoblob?