O cenário que você sugere é teoricamente possível. Você pode minimizar o risco usando o cliente Dropbox em vez de acessar o Dropbox pela web. Sua conta será pré-associada ao seu computador, e você não estará digitando sua senha do Dropbox, portanto, há poucas chances de que ela a capture com um keylogger. Outra possibilidade é manter seu banco de dados de senhas em uma chave USB criptografada Truecrypt ou criptografada de alguma forma em seu iPhone em vez de um serviço de compartilhamento de arquivos online, tornando ainda mais difícil obter o arquivo de senhas, pois nunca será armazenado em nenhum lugar exceto onde você está fisicamente. Claro, se eles tiverem acesso suficiente para instalar um keylogger, eles podem ter acesso suficiente para pegar o arquivo de banco de dados do armazenamento local de qualquer maneira.
Se você quiser evitar totalmente os gerenciadores de senhas, mas ainda tiver senhas memoráveis, recomendo a abordagem defendida pelo pesquisador de segurança da Universidade de Cambridge, Ross Anderson. Crie senhas usando a primeira letra de frases longas, pois isso permitirá que você gere senhas longas (ou seja, difíceis de decifrar) que ainda sejam memoráveis. Na verdade, eu uso essa técnica (com modificações para aumentar a entropia incluindo números e pontuação) para criar senhas mestras que são muito seguras e que me lembro. Consulte o link para obter mais detalhes.
Qualquer medida de segurança que você tomar será um compromisso entre conveniência e segurança. Um usuário altamente paranóico nunca inserirá suas senhas de uma máquina que não controla e só enviará senhas pela Internet via https. Naturalmente, isso limitará o número de lugares dos quais você pode acessar seu material protegido por senha.
A menos que você ache que alguém está particularmente propenso a querer seus dados específicos , é provável que qualquer ataque à sua segurança de senha seja de arrastos de baixo nível. Assim, é provável que o hacker esteja usando ferramentas automatizadas, e é improvável que faça o esforço especial de descobrir qual gerenciador de senhas você está usando, pegando o arquivo de senhas, etc. Se você acha que é provável que seja vítima de ataques direcionados. ataques, lembrando-se de senhas de alta entropia separadas para todas as suas contas confidenciais, e apenas acessá-las a partir de PCs que você controla com antivírus e antimalware atualizados é provavelmente o melhor caminho a seguir.