Какой более безопасный способ передачи паролей в OpenSSL?

При использовании OpenSSL в bash есть два способа использования переменной среды в качестве пароля:
pass:"${var}"и env:var.

Мне интересно, какой метод обеспечивает наибольшую безопасность, поскольку на странице руководства создается впечатление, что psможно прочитать пароль, переданный как pass:"${var}", и что это также возможно с env:var.

Соответствующий раздел страницы руководства OpenSSL:

Аргументы парольной фразы

Несколько команд принимают аргументы пароля, обычно используя -passin и -passout для входных и выходных паролей соответственно. Они позволяют получать пароль из различных источников. Оба эти параметра принимают один аргумент, формат которого описан ниже. Если аргумент пароля не указан и требуется пароль, то пользователю предлагается ввести его: он обычно считывается с текущего терминала с отключенным эхом.

пароль:пароль

фактический пароль — password. Поскольку пароль виден утилитам (например, 'ps' в Unix), эту форму следует использовать только там, где безопасность не важна.

env:var

получить пароль из переменной окружения var. Поскольку окружение других процессов видимо на определенных платформах (например, ps в некоторых ОС Unix), эту опцию следует использовать с осторожностью.