Si su "dial paranoico" está subido hasta el 11, la respuesta corta es "No".
No importa cómo almacene sus contraseñas, en algún momento habrá una transferencia en la memoria que es una representación de texto claro de algún autenticador. Ese "texto claro" puede ser su contraseña ASCII, o puede ser un hash de la misma, pero aún será suficiente para validar de forma independiente sus credenciales al destinatario. Esto se debe a que el autenticador se debe ingresar en su forma natural, antes de que el sistema pueda procesarlo para el hashing o el cifrado.
Si su preocupación es sobre rootkits, depuradores maliciosos y ataques similares, no existe ningún método de administración o almacenamiento de contraseñas que pueda mantenerlo totalmente seguro.
La única mitigación real para esta vulnerabilidad es tener autenticación de dos factores, y un factor es un elemento dinámico de algún tipo (es decir, RSA token o autenticación de "devolución de llamada"), en todo . De esta manera, sin importar qué elementos estáticos se capturen de su memoria, un atacante nunca podrá reutilizar sus credenciales sin el autenticador dinámico.
Por supuesto, todavía existe la posibilidad de ataques de canal lateral como el secuestro de sesiones y similares, pero están fuera del alcance de esta pregunta.
Para obtener un medio más práctico de proteger su contraseña, que cubrirá la mayoría de las vulnerabilidades defendibles, lo mejor es utilizar un administrador de contraseñas seguro como KeePass u otros similares.