擴展@ d1str0的內容：如果瀏覽器的創建者想要竊取您的密碼，則在您每次輸入密碼時將其發送到製造商控制的服務器都是微不足道的-無需為麻煩而煩惱告訴您有關同步程序的信息，或提供記住密碼的信息。默認情況下，所有瀏覽器都會發送一定級別的使用情況數據，通常是崩潰報告和更新檢查，它們可以輕鬆隱藏密碼和用戶名數據。

但是，如果發現有任何瀏覽器正在執行此操作，則會強烈反對該製造商-請查看在Windows 10發布後啟用了報告功能後針對微軟的憤怒。

Keepass和 Password Safe都是開放源代碼（因此，如果有足夠的編程知識，並且是受信任的編譯器，您可以確定他們正在按他們說的做，而沒有其他事情-足夠的編程知識可能很高級）。在這兩種情況下，只要未提供安全密碼，加密密碼文件都應該可以安全同步，甚至可以同步到第三方源。據我們所知，在沒有適當密鑰（安全密碼）的情況下破解AES（Keepass）或TwoFish（密碼安全）會導致暴力破解。

Lastpass和 1Password都需要您信任開發人員，並且默認情況下同步到遠程位置。從理論上講，它們是安全的，但是沒有任何明顯的方法可以檢測其中與存儲相關的漏洞。從邏輯上講，如果您擔心Chrome或Firefox會竊取密碼，則相同的參數適用於這些應用。

我個人使用上面提到的一種基於雲的密碼服務-我考慮了風險和收益，並平衡了我願意接受的安全性與該服務的易用性，並決定我的用例，可以接受。您可以接受的風險可能會有所不同-例如，如果您認為AES容易受到攻擊，那麼，在使用不同加密算法的加密USB密鑰上保持Keepass安全可能是可行的選擇，但是將文件上傳到第三方服務可能是可行的選擇對您來說“風險太大”。但是，許多安全專業人員已經考慮了此問題，並且通常建議使用密碼安全類型的軟件，而不是允許瀏覽器記住密碼，這僅僅是因為瀏覽器曾經很糟糕-他們允許沒有主密碼的訪問，並且使用了較差的加密方法。其中一些問題已得到解決，但舊習慣卻死了！

如果您擔心Chrome或Firefox會竊取密碼，則一開始就不會將它們用作網絡瀏覽器。

Keepass或LastPass之類的應用程序可以使用主密碼來加密您的密碼。

如果您不使用主密碼，則您的網絡瀏覽器可以隨時對您的密碼進行解密。

由您決定所需的安全級別。

除了有關密碼管理器的答案外，還有一段時間您還必須考慮不確定性。

以KeePass為例：除了信任審閱代碼的人（或信任自己）若要了解自己進行審查的知識），還需要信任二進製文件的提供者（與提供的代碼匹配）。或自己重新編譯並相信編譯器是正確的。操作系統也是受信任的。

這是很多“信任”，並且總是有一段時間您的風險分析宣稱它“足夠好”。 相對於其他風險，這是您應該尋求的“足夠好”。

我與@Matthew一起使用在線密碼管理器：您可以保護自己免受最大的風險可能的風險（一個站點被黑，但由於使用了密碼管理器，您擁有唯一且較長的密碼）與Google / NSA / [將您喜歡的組織放在這裡]的可能性聯繫在一起。如果他們在您之後，就會有更有效的方法來獲取您的數據。

您使用共享計算機嗎？如果是，或者您的硬盤未加密，則不要，不允許它保存密碼。

我不允許瀏覽器記住密碼，我發現使用密碼管理器要容易得多。 Firefox（我認為是Chrome）允許但不要求使用主密碼，該密碼會加密您存儲的密碼（據我了解，無論是否使用主密碼，密碼都是經過加密的，沒有什麼阻止任何人使用存儲的密碼密碼）。大多數人無法使用主密碼功能，我認為這是由於使它成為需要明確尋求的東西。使用Firefox 44.0.2，如果站點知道您的密碼，則可以

右鍵單擊密碼字段>填寫密碼>查看保存的登錄名>顯示密碼（同意提示）。

無需身份驗證，並且所有內容均為純文本。

更容易並且可以在所有瀏覽器上使用嗎？

右鍵單擊密碼字段>檢查元素（可以使用不同的名稱）>再次將類型從“密碼”更改為“文本”

，無需身份驗證，並且所有內容均為純文本。

對我來說，普通用戶似乎有一個合理的折衷辦法：讓您的網絡瀏覽器保存不太重要的瀏覽器，然後以更安全的方式保存其餘的瀏覽器。

我有大約100個密碼互聯網上的各種站點。大概有80個我不在乎有人偷了-最壞的情況下，它們會讓我看起來像是Ars Technica或類似公司的混蛋。網站和密碼都沒有錢（或微不足道和有限的錢），並且這不是我曾經用於有錢的東西的密碼。我讓Chrome記住的那些。

我關心的其他15-20個人-信用卡和銀行登錄信息，我的健康保險網站等-我保持在離線加密密碼管理器中。它是脫機的，因此從理論上講它可能會丟失（儘管我確實在兩個單獨的設備上安裝了它，但是可能發生房屋火災等）；但如果絕對必要，則可以（有些困難）恢復所有這些密碼。但是，總的來說，它們是安全的，只要不從網站的黑客攻擊中恢復密碼就可以了（當然，這些密碼是唯一的，複雜的密碼，即使相對安全，也很安全）

最後，我的電子郵件密碼除了存儲在我的頭上之外，沒有存儲在其他任何地方。那是因為這是薄弱點-社會工程攻擊與訪問我的電子郵件的結合可能會使某人恢復/重新創建所有其他位置的密碼。我使用了足夠多的電子郵件，可以安全地記住該密碼（如果沒有，我當然也有一種恢復方法）。

一種折衷方法是將KeePass與Firefox擴展 KeeFox結合使用，使您可以自動將KeePass密碼庫中的密碼用於Firefox，而無需通過Firefox實際存儲它們。

以這種方式存儲的密碼非常不安全。只需嘗試訪問它們，您會發現通過輸入Windows / Linux用戶帳戶密碼可以訪問它們。曾經有並且可能有一些漏洞可以更改Windows / Linux用戶帳戶密碼或cirumvent檢查。因此，您永遠不應存儲諸如在線銀行帳戶之類的高價值目標密碼，尤其是在工作計算機上。

這非常簡單：將密碼信任給瀏覽器，即使有良好的意圖也不是其主要功能，但這始終是一個問題。尤其是在瀏覽器已安裝插件或密碼存儲庫本身未使用（強）主密碼保護的情況下。

問題有多大？你必須決定。我肯定會讓我的私人瀏覽器將密碼存儲到不重要的站點，而不是我的銀行帳戶或個人郵件帳戶。許多網上銀行實際上使您的瀏覽器很難/不可能存儲密碼（通過用一些精心設計的方式替換普通的輸入表單，即必須用鼠標點擊程式化的數字鍵盤），這一事實應該告訴您一些信息。

對於KeePass等，這是完全一樣的想法，只是將標尺提高了一點。也就是說，如果您確實是偏執狂，也不會使用它們，但是您可以比瀏覽器“相信”更多。你有多少錢？

一個我認為沒有其他人允許瀏覽器存儲密碼的主張是，它可以保護您免受網絡釣魚攻擊。

Chrome會自動填寫您的登錄憑據，但是只有在URL正確的情況下，它才會這樣做...並且如果網站設計合理，則URL將由證書頒發機構通過HTTPS進行驗證。如果您進入登錄頁面，但Chrome尚未自動填寫憑據，那麼這就是要考慮的原因，請再次檢查您的位置是否正確。

這裡有很多反饋，其中包含一些有用的信息。正如其中一些人指出的，每當您使用任何軟件時，您都在對該軟件進行一定程度的信任投資。

借助對瀏覽器的支持並使用它們來存儲密碼，我認為您主要關心的不是瀏覽器製造商。這些通常是規模較大的組織，在聲譽方面進行了大量投資。他們也受到了大量的審查（特別是鉻和Firefox）。

真正的威脅來自惡意網站/網頁和瀏覽器插件。因此，我認為要查找的最重要屬性之一是瀏覽器是否允許您為存儲的密碼設置主密碼，以及是否需要在使用存儲的密碼之前輸入該主密碼。

尤其是對於Chrome瀏覽器，由於其存儲的密碼未提供足夠的安全性而受到批評。我相信情況已經有所改善，但這主要是由於公眾大聲疾呼。

如果您使用的是keepas之類的東西，那麼在瀏覽器中存儲密碼也沒有任何真正的好處。我使用密碼管理器，並禁用了用於存儲密碼的所有瀏覽器的功能，因為它沒有提供任何其他好處。

我發現人們經常誤解密碼管理器的原因-或強調密碼管理器的錯誤方面。許多人從便利的角度看待它們。他們將啟用任何便利選項，而無需考慮對安全性有什麼影響，例如，緩存其主密碼，允許自動自動填充等。儘管任何類型的密碼管理器都可以方便使用，但真正的好處在於減少了複雜性。您需要記住的密碼。您只需要記住一個非常複雜而強大的密碼，而您想要的是能夠在系統填寫“真實”密碼之前輸入主密碼的功能。您真的不想要自動輸入密碼的便利-接受這種不便之處以確保您可以控制。

對於在線登錄，您擁有簡單的工具（如具有良好瀏覽器集成的Lastpass）以及需要更多工作的工具（如Keepass），您必須在其中復制和粘貼登錄信息。當您需要每天登錄許多站點時，這需要做很多工作。

如果您對Lastpass（或類似工具）的信任度較低，那麼您仍然可以將其用於不那麼重要的網站。

重要的網站-想想貝寶（Paypal），亞馬遜（Amazon），易趣（Ebay），丟失帳戶可能要花錢，或者使用Gmail或Hotmail這樣的郵件帳戶，丟失帳戶可能甚至是一個更大的問題，因為它使您有可能在其他網站上重置登錄信息。

更重要的網站：登錄遊戲論壇，Reddit，無效的Twitter帳戶，討論論壇等。您很有可能證明自己是您並收回該帳戶，否則就很不幸了。 。這不是很大的損失。以及您的Reddit帳戶是否意味著您的生活，對我來說，我真的不在乎。因此，我將其保存在Lastpass中，但也許您想使其更安全。保留在哪裡取決於您。

如果您的密碼足夠容易記住*或足夠重要**，最好不要將其保存到計算機中（在瀏覽器或其他位置），因為如果有人偷了您的計算機，實際上您就將密碼洩露了。 br />即使您的密碼是加密的，這也只是一種延遲機制，幸運的是，沒有多少人會擁有足夠的知識/資源來破解它，並且可能只是為了快速賺錢而出售您的計算機。
一定要選擇使用密碼管理器，以利用它：利用所有有效字符生成一個隨機密碼，並使其在允許的範圍內（儘管4096個字符可能很荒謬...）。

* don '不要使用短密碼，太容易暴力破解（10個字符是一個很好的起點）
**例如銀行，電子郵件，商店，Facebook（可用於登錄其他服務）

其他用戶是最令人擔憂的原因。

我不會使用任何密碼記憶軟件，因為除了向他們提供我使用的密碼外，還有更高的風險有人侵入您的Google帳戶並轉儲所有其他密碼。

您可以將密碼保存在Chrome中，然後進行配置以將其備份到Google。然後，有人通過進行一些鍵盤記錄來入侵您的Google帳戶。

他們可以直接從您的Google帳戶的配置文件控制面板中以明文形式訪問您保存的所有密碼。

但是，可以通過使用TFA來緩解。

我說過，我永遠不會使用任何通行證記憶軟件，主要是因為這個原因。