Парольные менеджеры обладают рядом существенных преимуществ перед подходом с мнемоническими паролями.
Во-первых, как это ни странно, большее удобство ввода пароля — за счет дополнительных плагинов к браузерам. Необходимо запомнить только один мастер-пароль, который будет набираться единообразно на разных платформах.
Во-вторых, в привязке к конкретному ресурсу можно хранить и другую информацию, например, использованный номер телефона для двухфакторной аутентификации, контрольные вопросы для восстановления и ответы на них, привязанный ящик электронной почты, и прочая, прочая...
В-третьих, можно сохранять для одного и того же ресурса несколько аккаунтов.
В-четвертых, нет привязки к веб-ресурсам, ведь сохранить парольную информацию вы можете для любого приложения или вообще для сторонней железки, того же роутера.
В-пятых, современные парольные менеджеры — вещи существенно более функциональные, нежели банальные запоминалки паролей. Можно хранить любую конфиденциальную информацию, для удобства определяя собственные поля. Например, в случае банковского счета можно указать необходимые для зачисления реквизиты, а для транспортного средства — VIN и данные свидетельства о регистрации. А заодно и дату последнего ТО с перечнем всех парт-номеров. А можно записать регистрационный ключ к какой-нибудь софтине. Или СНИЛС. Или mac-адреса устройств в домашней сети.
Естественно, возникает закономерный вопрос — а что будет в случае атаки MitM или вообще компрометации места хранения? В случае современных парольных менеджеров — вообще ничего. Ибо в сети (облаке) хранится только зашифрованный файл, расшифровывается он при локальном доступе на клиентском устройстве. В расшифрованном виде не хранится ничего. Более того, все нормальные парольные менеджеры имеют базовый набор обеспечения безопасности, как-то очистка буфера обмена, автоблокировка при неактивности, в случае мобильных версий — скрытие изображения основного окна.
Естественно, парольный менеджер будет совершенно беззащитен в ситуации заражения кейлоггером — но тут уже, как говорится, поздно пить боржоми. Если у вас пишется вся клавиатурная активность, а в придачу и экран — пароли будут скомпрометированы при любом раскладе.
Из собственного опыта могу порекомендовать KeePass (есть форки KeePassX, KeePassXC). GPL со всеми вытекающими. Есть варианты для Андроида, лучшим из которых, на мой взгляд, является Keepass2Android Password Safe.
Либо Enpass, который мне нравится больше с точки зрения интерфейса. Тоже кроссплатформенный, но закрытый и местами платный.
