Hace aproximadamente un año, intenté usar LastPass pero encontré que la experiencia del usuario era muy escasa, y volví a mi método probado y verdadero de tener un montón de contraseñas diferentes (algo de reutilización de contraseña, pero nunca he ejecutado en problemas con eso) y mi correo electrónico tiene una frase de contraseña no reutilizada de más de 30 caracteres y creo que simplemente podría restablecer la contraseña en cualquier servicio que haya sido secuestrado.
Sé que esto no es bueno , y entiendo las consecuencias, no se trata de eso.
Hace poco decidí "hey, vamos a darle otra oportunidad a los administradores de contraseñas" y esta vez fue con Firefox Sync (& Master Password).
Por lo que he notado, encripta el cryptoblob almacenado localmente usando una clave, que es en sí misma encriptada usando la contraseña maestra. Las contraseñas almacenadas en su servidor están (por alguna razón) encriptadas usando mi contraseña de Firefox Sync (que, por supuesto, está almacenada en el cryptoblob).
Divulgación completa: mi contraseña de Firefox Sync no es tan fuerte como mi contraseña maestra. Si alguien lo robó, teóricamente podrían descargar una copia sin cifrar de mi blob de contraseña a un nuevo dispositivo simplemente iniciando sesión en mi cuenta. Sin embargo; esto requiere que confirme el inicio de sesión de mi correo electrónico. La contraseña de mi correo electrónico es, en la fecha actual, la misma frase de contraseña que utilizo para mi contraseña maestra de Firefox.
Ahora, a la pregunta: ¿Hay algo intrínsecamente menos seguro en el uso de una contraseña larga y memorable (mi contraseña maestra) para mi correo electrónico (que es necesario para descargar mi cryptoblob) que ¿Tener una contraseña de seguridad de datos almacenada en dicho cryptoblob?