¿Cuál es tu modelo de amenaza? ¿Una máquina comprometida? ¿Tienes un presupuesto infinito para esto?
Si la pregunta es si usar un teclado de hardware es más seguro que proporcionar la contraseña a través del software, la respuesta es (generalmente) Sí. Como notó, un pin de software sería vulnerable a un keylogger que rastreara la contraseña de la unidad.
Sin embargo, tenga en cuenta que si desbloquea este USB en una computadora infectada, también podría hacer una copia de todos los archivos en la unidad USB en lugar de solo el pin (o mejor aún, esperar hasta que desbloquee su base de datos de Keepassxc). luego exfiltrar los contenidos descifrados de la memoria), por lo que no es muy tranquilizador que un ladrón haya obtenido todos los contenidos protegidos, pero no pudo robar el código de acceso seguro, aunque técnicamente usted estaba un poco más seguro.
Por otra parte, tal vez lo único que te importa es que tu sirvienta no es un espía que modifica los diseños de la nueva planta de energía nuclear para que explote, en cuyo caso se introduce un pin en un teclado de hardware para obtener el acceso de solo lectura lo protegería.
Otro punto que puede compararse con el teclado del hardware es el contexto social en el que desbloqueará la unidad. Si tendrá que desbloquear el disco delante de otros, ¿qué tan fácil será ocultar el código de acceso de ellos? Una buena persona que escribe a menudo puede ingresar en el teclado de la computadora una contraseña larga que él conoce lo suficientemente rápido como para que otras personas probablemente no la obtengan. Mientras que un código PIN corto podría notarse más fácilmente (pero tal vez podría desbloquearlo cuando esté escondido detrás de la computadora con la excusa de conectarlo a un puerto trasero).
Mencionas que (siempre?) llevarás ese usb contigo. Si bien no está relacionado en absoluto con su seguridad, es posible que le interese saber qué tan cómodo sería llevar a cada uno de ellos, ya que el teclado del hardware necesariamente da como resultado un palo más grande.
La discreción puede ser otro factor en el que pueda estar interesado, ya que una memoria USB con un teclado de hardware realmente se destaca.
O todo lo contrario. El objetivo de obtener un usb encriptado puede ser impresionar a otras personas (por ejemplo, algunos posibles inversionistas en su empresa) que muestran qué tan seguro se maneja todo, por lo que debe tener un teclado externo pero también un lector biométrico, pero no importa si No es confiable y realmente permiten a cualquiera.
Todo esto sin tener en cuenta la seguridad real del cifrado en sí mismo (¿el disco y el almacenamiento no están encriptados? ¿Es mejor el algoritmo del disco A que el del disco B? ¿Están implementados correctamente?). Recomendaría tener una capa adicional de cifrado de software para contrarrestar eso (por ejemplo, el archivo KeePassXC en la unidad también está cifrado, como probablemente esos certificados).
Como el principal riesgo para un dispositivo USB encriptado es desbloquearlo en una computadora que no es de confianza, una alternativa para almacenar sus archivos en un USB encriptado sería usar un teléfono inteligente pequeño, completamente desconectado, dedicado exclusivamente a guardar sus contraseñas y otros archivos. (Configuración del cifrado del disco y todos los demás beneficios). Al ser un dispositivo separado, puede recuperar la contraseña allí y luego escribirla en la computadora no tan confiable para su uso real, sin temor a comprometer el resto de contraseñas almacenadas allí.