¿Cuál es una forma más segura de pasar contraseñas a OpenSSL?

Con OpenSSL, hay dos formas en bash de utilizar una variable de entorno como contraseña:
pass:"${var}"y env:var.

Me pregunto qué método proporciona la mayor seguridad, ya que la página de manual hace que parezca que psse puede leer la contraseña cuando se pasa como pass:"${var}", y que también podría ser posible con env:var.

Sección relevante de la página de manual de OpenSSL:

Argumentos de frases de paso

Varios comandos aceptan argumentos de contraseña, normalmente usando -passin y -passout para contraseñas de entrada y salida respectivamente. Estos permiten obtener la contraseña de una variedad de fuentes. Ambas opciones toman un único argumento cuyo formato se describe a continuación. Si no se proporciona ningún argumento de contraseña y se requiere una contraseña, se le solicita al usuario que ingrese una: esto generalmente se leerá desde el terminal actual con el eco desactivado.

pasar:contraseña

la contraseña real es contraseña. Dado que la contraseña es visible para las utilidades (como 'ps' en Unix), este formulario sólo debe usarse cuando la seguridad no sea importante.

entorno:var

obtenga la contraseña de la variable de entorno var. Dado que el entorno de otros procesos es visible en ciertas plataformas (por ejemplo, ps en ciertos sistemas operativos Unix), esta opción debe usarse con precaución.