Chrome 提供了自动填写密码的功能，而您作为用户无需输入任何类型的身份验证，而无需登录到机器上。这意味着它必须拥有在该上下文中运行时访问存储密码所需的所有信息。

这意味着在该上下文中运行的任何其他应用程序（在您的用户帐户下）也可以访问该信息。

Chrome 唯一能做的就是使用操作系统级别的保护来阻止其他用户读取您的数据。在 Windows 下，它使用CryptProtectData函数。这将使用您的 Windows 用户凭据加密数据 - 包括您的密码。如果您忘记了密码，则数据将无法读取 - 即使管理员重置了它（尽管使用 chrome 密码，它们会在线备份，并且在您下次使用谷歌凭据登录时会恢复）。

我对安全有什么误解？

在您自己的用户或管理员下在您的系统上运行的任何软件都应该被认为可以访问您所做的一切。如果它无法从密码存储中读取密码，还有许多其他方法可以获取它。从笨拙（启动 chrome，将其指向 chrome://settings/passwords 并从 UI 中读取它们）到在运行时从 chromes 内存中提取密码或 Google API 密钥或注入假根证书和中间人连接到发送密码的网站。

您需要考虑一些事项：

• 密码管理器是一种便利工具，而不是安全工具。如果您想拥有一个安全的密码管理器，则必须对所有内容进行加密，在这种情况下实际上无法证明这一点。
• 与不使用密码管理器相比，使用密码管理器总是更不安全，除非您手动控制其安全方面，这不会发生。您不知道数据存储在哪里、以什么格式以及访问它所涉及的过程是什么。
• Smart-Lock 在任何时候都不能证明它的安全性。
• 密码学和实现细节至少应该记录在某个地方，但这让我高度怀疑 Chrome 的官方声明，如“你的密码总是加密的”。他们没有说实际发生的“位置”：存储它们时，同步时，使用缓存时，一般通信发生时等。
• DEFCON 2016 的一项结论指出：“消费者无法评估公司提出的安全声明。我们需要更多的研究人员调查公司代表消费者提出的安全声明。
• 一切都缓存在一个点上。您的浏览器将使用大量的跨缓存，任何高于平均水平的特定应用程序都可以从中读取。