Предлагаемый вами сценарий теоретически возможен. Вы можете минимизировать риск, используя клиент Dropbox, а не доступ к Dropbox через Интернет. Ваша учетная запись будет предварительно связана с вашим компьютером, и вы не будете вводить свой пароль Dropbox, поэтому у них мало шансов получить его с помощью кейлоггера. Другая возможность - сохранить базу данных паролей на USB-ключе, зашифрованном Truecrypt, или каким-либо образом зашифрованным на вашем iPhone, а не онлайн-сервисом для обмена файлами, что еще более усложняет получение вашего файла паролей, так как он никогда не будет храниться где-либо кроме того, где вы физически. Конечно, если у них достаточно прав для установки кейлоггера, у них вполне может быть достаточный доступ, чтобы в любом случае получить файл вашей базы данных из локального хранилища.
Если вы хотите полностью отказаться от менеджеров паролей, но при этом иметь запоминающиеся пароли, я рекомендую подход, предложенный исследователем безопасности Кембриджского университета Россом Андерсоном. Создайте пароли, используя первую букву длинных фраз, поскольку это позволит вам создавать длинные (то есть трудно взломанные) пароли, которые все еще запоминаются. Я на самом деле использую эту технику (с модификациями для увеличения энтропии, включая числа и знаки препинания), чтобы создавать очень надежные мастер-пароли, которые я помню. См. Http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-500.pdf для получения дополнительной информации.
Любая мера безопасности, которую вы принимаете, будет компромиссом между удобством и безопасностью. Сильно параноидальный пользователь никогда не будет вводить свои пароли с машины, которую он не контролирует, и только когда-либо отправляет пароли через Интернет через https. Естественно, это ограничит количество мест, из которых вы можете получить доступ к защищенным паролем материалам.
Если вы не думаете, что кому-то особенно нужны ваши конкретные данные, скорее всего, любые атаки на безопасность вашего пароля будут низкоуровневыми тралами для низко висящих фруктов. Таким образом, хакер, скорее всего, будет использовать автоматизированные инструменты и вряд ли пойдет на особые усилия, чтобы выяснить, какой менеджер паролей вы используете, захватить файл паролей и т.д. Если вы считаете, что, скорее всего, станете жертвой целенаправленных атак, лучшим способом продвижения вперед, вероятно, будет запоминание отдельных паролей с высокой энтропией для всех ваших конфиденциальных учетных записей и доступ к ним только с компьютеров, которые вы контролируете с использованием новейших антивирусных и антивирусных программ.
