[Divulgación: trabajo para AgileBits, los creadores de 1Password]
Como han señalado muy bien otros, los administradores de contraseñas están sujetos a diferentes riesgos. Obviamente, creo que usar un administrador de contraseñas bien diseñado es una buena opción.
Quiero abordar el problema de "huevos en una canasta" que se ha planteado. Sí, los administradores de contraseñas ponen todos sus huevos en una canasta, por lo que debe ver qué tan bien está protegida esa canasta. Pero veamos el mismo problema de seguridad (muchos huevos en una canasta) cuando no usamos un administrador de contraseñas.
La reutilización de la contraseña también está poniendo varios huevos en una cesta
Supongamos que Molly (uno de mis perros) reutiliza la contraseña 1chaseR4bbits
para diez sitios y servicios diferentes. (Molly no es un perro muy brillante). Al hacerlo, cada uno de esos diez sitios se convierte en un huevo en la misma canasta. Si se descubre su contraseña, todas sus cuentas en esos sitios están comprometidas.
Ahora veamos qué tan bien está protegida esa canasta de reutilización. Es vulnerable a que su contraseña sea capturada en tránsito, es vulnerable al phishing, es vulnerable a una violación de cualquiera de los diez sitios y servicios. De hecho, cuanto más grande sea la canasta (entre más sitios reutilice la contraseña), más vulnerable será.
En pocas palabras, la reutilización de la contraseña es poner varios huevos en una cesta muy mal protegida . Un buen administrador de contraseñas resuelve el problema de reutilización de contraseñas y le brinda una cesta muy sólida.
Miscelánea
Usted enumeró los ataques de phishing como una amenaza para la Contraseña maestra de un administrador de contraseñas. Con 1Password, la aplicación se ejecuta de forma completamente local, por lo que hay poco margen para un ataque de phishing. Existe la posibilidad de que algún programa que se ejecuta localmente intente falsificar 1Password. No hemos visto nada de eso (todavía) y, por lo tanto, no hemos habilitado las medidas de contador. (¿Alguien recuerda las claves del sitio? ¡Qué asco!)
Usted mencionó la dificultad de mantener incluso una pequeña cantidad de contraseñas seguras, fáciles de escribir y fáciles de escribir. Hace unos cuatro años, escribí un consejo (consulte Hacia mejores contraseñas maestras ) sobre cómo hacer esto para las pocas contraseñas que necesita recordar. Es un consejo que aún se mantiene en la actualidad (y fue recogido por XKCD) y si se sigue adecuadamente, sigue siendo sólido incluso si los atacantes saben exactamente qué sistema utilizaste.