Wskazówki dotyczące tworzenia hasła do FDE

Hej, chcę sobie zrobić pełne szyfrowanie dysku na linuksie używając LUKS i zastanawiam się jak tu skonstruować hasło to podawane przy cryptsetup luksFormat. Lepiej spróbować na siłę wykuć w głowie wygenerowany losowo ciąg znaków przez KeePass przy domyślnych ustawieniach mając nadzieję że się zapamięta czy użyć passphrase (nie wiem jak to tłumaczy się na polski), który można wygenerować również w KeePassie? Zastanawiam się nad tą drugą opcją tylko nie jestem pewien czy pass frazy nie są podatne na ataki słownikowe w większym stopniu niż zwykłe sekwencje losowych znaków. Chcę zabezpieczyć dane na dysku na wypadek kradzieży czy okoliczności typu oddanie posiadanego sprzętu na gwarancję.

Chyba tu znalazłem odpowiedź:

https://security.stackexchange.com/questions/10294/can-a-dictionary-attack-crack-a-diceware-passphrase#10297

Ale przecież hasło może się składać z "normalnych" słów, ale w jakiś (znany tylko Tobie) sposób zmodyfikowanych - przykładowo zamieniasz a na @, pierwsza litera (a może też ostatnia) każdego wyrazu piszesz wielką literą, gdzieś wstawisz kropkę i myślnik, zamienisz e na 3 itp.

I w ten sposób najpierw tworzysz sobie proste do zapamiętania hasło mojamamanielubislimakowanikrzesel i zamieniasz je w praktycznie niezniszczalne Moj@M@m@Ni3LubI.Slim@koW@nIKrz3s3L

Czy powinienem na odpalonym systemie unikać bezpośredniego podawania hasła do dysku jakbym potrzebował np. tymczasowo przejściówką podpiąć dysk z innego komputera i zamiast tego używać kluczy trzymanych np. w /root/magazyn.key z odpowiednim ownerem i chmodem?

Jeżeli chcesz pójść w opcję bardzo paranoiczną, możesz zrobić LUKS detached header, czyli trzymać nagłówek LUKS (zawierający informacje nt. parametrów szyfrowania) osobno, np. na pendrive.

Jak już wspomniałeś o nagłówkach, to czy dobrą metodą backupowania nagłówków LUKS jest trzymanie ich na niezaszyfrowanym pendrive lub karcie pamięci z systemem plików ext4, fat32, ntfs?