Las dos defensas que enumeras están destinadas a proteger contra dos ataques diferentes.
Contraseña única para cada inicio de sesión
Esto está destinado a proteger contra una filtración de la base de datos de contraseñas de otra persona. Incluso si el atacante encuentra su contraseña, es inútil ya que solo permite acceder al sitio web único en el que ocurrió la filtración (que probablemente haya cambiado para cuando el atacante reciba la contraseña).
Nunca use una contraseña trivial (por ejemplo: nombre de usuario más un dígito)
Esto protege contra cualquier pérdida de la base de datos de contraseñas. Si una base de datos de contraseñas tiene fugas ( y la contraseña está correctamente oculta ), esto hace que sea más difícil (y tal vez imposible, dependiendo de la entropía de su contraseña) que el atacante realmente invierta el hash y obtenga su contraseña. .
Esto podría llevarlo a creer que una contraseña segura es la defensa más importante de estos dos. Sin embargo, no puede garantizar que un sitio web introduzca la contraseña correctamente. Por ejemplo, en la violación masiva de Adobe recientemente, las contraseñas no fueron eliminadas. Esto significaba que los atacantes podían revertir muchos hashes muy rápido.
Como puede ver, su contraseña podría filtrarse en texto sin formato o en una forma reversible de cifrado; facilitando que el atacante conozca su contraseña incluso si es fuerte . En este caso, su única defensa es asegurarse de tener una contraseña única para cada sitio.
Al final, es su elección, pero ninguna de las dos defensas debe considerarse segura por sí misma. Mi recomendación es usar un administrador de contraseñas para obtener contraseñas seguras y únicas para cada sitio.