Qual é a maneira mais segura de passar senhas para OpenSSL?

Com o OpenSSL, existem duas maneiras no bash de usar uma variável de ambiente como senha:
pass:"${var}"e env:var.

Estou me perguntando qual método oferece mais segurança, já que a página de manual faz parecer que psé possível ler a senha quando passada como pass:"${var}", e que também pode ser possível com env:var.

Seção relevante da página de manual do OpenSSL:

Argumentos de frase secreta

Vários comandos aceitam argumentos de senha, normalmente usando -passin e -passout para senhas de entrada e saída respectivamente. Isso permite que a senha seja obtida de diversas fontes. Ambas as opções utilizam um único argumento cujo formato é descrito abaixo. Se nenhum argumento de senha for fornecido e uma senha for necessária, o usuário será solicitado a inserir uma: ela normalmente será lida no terminal atual com o eco desativado.

senha: senha

a senha real é senha. Como a senha é visível para utilitários (como 'ps' no Unix), este formulário só deve ser usado onde a segurança não for importante.

env:var

obtenha a senha da variável de ambiente var. Como o ambiente de outros processos é visível em determinadas plataformas (por exemplo, ps em determinados sistemas operacionais Unix), esta opção deve ser usada com cautela.