Ik ken password safe niet en weet niet hoe het werkt, maar een potentieel probleem is een wachtwoord dat via het
clipboard wordt uitgewisseld, en erger, dat daar in blijft zitten zonder dat je eraan denkt.
Het clipboard wordt vaak gedeeld met remote desktop sessies en virtual machines die je open hebt staan. Ook als je het "aan de andere kant" niet bewust opvraagt wordt het vaak "over de lijn" gestuurd en is daarmee fysiek beschikbaar in die andere omgeving en kan dan bijv. ook in een swapfile belanden die wellicht niet versleuteld is.
Javascript in webpagina's hoort niet ongemerkt het clipboard uit te kunnen lezen maar ik herinner me vaag op dit punt wel eens een webbrowser bug te hebben gezien. Daarnaast zijn er wellicht clickjacking mogelijkheden om je te foppen waardoor het clipboard toch kan worden uitgelezen.
KeePass biedt de mogelijkheid om na 10 seconden het clipboard te wissen (niet perfect helpt wel iets). Ah in
http://www.purdue.edu/securepurdue/pswdManager.cfm zie ik dat Password Safe dat kennelijk ook doet (prima pagina trouwens).
PC's zijn feitelijk ongeschikt voor het plain text transporteren van zeer gevoelige gegevens (waaronder wachtwoorden) omdat ze multifunctioneel zijn en bijna elk stukje software dat jij, of een ander, (bewust of onbewust), erop geïnstalleerd hebt, bij die gevoelige gegevens kan. Naast de keyloggers die S-q noemt zijn ook allerlei injection technieken en andere API hooks mogelijk waardoor een aanvaller toegang tot gegevens kan krijgen. Bij wachtwoorden die als "bolletjes" of asterisks worden getoond kan de aanvaller middels screenshots in elk geval de lengte achterhalen.
Met een wachtwoord aantonen dat jij jij bent is dus onbetrouwbaar. Slechte omgangsvormen van wachtwoorden verergeren dat, die minimaliseer jij in elk geval.