Я думаю, что cloud-based - значит, что зашифрованный контейнер есть как и на устройстве, так и его копия где-то в облаке... В этом случае - cloud-based при той же сложности, что и локальный, более надежен в том смысле, что если потеряете устройство, контейнер с паролями есть в облаке.
Нормальный менеджер паролей, на мой взгляд - безопаснее, чем файл базы данных в зашифрованном контейнере - когда открывается зашифрованный контейнер, то весь незашифрованный файл становится доступен для потенциального malware.
Насчет паранойи - зависит, как от психики, так и от ставок) Если Вы идете через незнакомый лес ночью по gps на смартфоне и он, вдруг, блокируется, то тут паранойя оправдана и физический токен себя оправдает. А если приходят по 1 письму в месяц в почтовый ящик, его можно и безвозвратно потерять)
Пару раз слышал, что были взломы менеджеров паролей - Laspass, вроде бы, один из них...
2FA советую использовать, независимо от соображений безопасности, хотя бы, будете знать, что происходит попытка доступа... Многие сервисы используют сторонние приложения, которые генерируют динамические коды для 2FA.
Как выше писали насчет удобства и безопасности, то безопасность сегодня так и строится, что чем больше заборов надо перелезть, тем надежнее. На очередной забор может не хватить сил или терпения) Если пароли собирают, чтобы продать по 1 доллару, никто не будет день тратить на то, чтобы получить еще один доллар)