Espandere ciò che @ d1str0 ha detto: se il creatore del tuo browser voleva rubare le tue password, sarebbe banale inviarle a un server controllato dal produttore ogni volta che le hai inserite - non hanno bisogno di preoccuparsi per il fastidio di informarti sulle procedure di sincronizzazione o sull'offerta di ricordare le password. Per impostazione predefinita, tutti i browser inviano un certo livello di dati di utilizzo, in genere segnalazioni di arresti anomali e controlli di aggiornamento, che potrebbero facilmente nascondere dati relativi a password e nome utente.
Tuttavia, se fosse stato trovato un browser qualsiasi, ci sarebbe stata una protesta nei confronti di quel produttore - guarda la rabbia rivolta a Microsoft dopo il rilascio di Windows 10 con la funzione di reporting back abilitata lì.
Keepass e Password Safe sono entrambi aperti fonte (quindi, data una conoscenza di programmazione sufficiente e un compilatore di fiducia, puoi essere certo che stanno facendo quello che dicono di essere, e nient'altro - una conoscenza di programmazione sufficiente potrebbe essere comunque un livello molto alto). In entrambi i casi, i file delle password crittografate devono essere sincronizzati in modo sicuro, anche con fonti di terze parti, purché non venga fornita la password sicura. Breaking AES (Keepass) o TwoFish (Password Safe) senza la chiave appropriata (la password sicura) scende, per quanto ne sappiamo, alla forza bruta.
Lastpass e 1Password richiedono entrambi di fidarsi gli sviluppatori e si sincronizzano per impostazione predefinita in una posizione remota. Teoricamente, sono sicuri, ma non ci sarebbe alcun modo ovvio per rilevare una vulnerabilità in loro relativa allo storage. Se temi che Chrome o Firefox rubino le password, logicamente, gli stessi argomenti si applicano a queste app.
Personalmente, uso uno dei servizi di password basati su cloud menzionati - ho considerato i rischi e i benefici e ho bilanciato la quantità di sicurezza che sono disposto ad accettare contro la facilità d'uso del servizio, e ho deciso che per i miei casi d'uso, è accettabile. Il tuo rischio accettabile potrebbe essere diverso: se consideri AES vulnerabile, ad esempio, tenere un Keepass sicuro su una chiave USB crittografata che utilizza un algoritmo di crittografia diverso potrebbe essere un'opzione praticabile, ma il caricamento del file su un servizio di terze parti potrebbe essere "troppo rischioso" per te.
Si tratta di ciò che consideri sicuro, dopo aver valutato le opzioni. Molti professionisti della sicurezza hanno preso in considerazione questo problema e generalmente consigliano l'uso di un software di tipo sicuro per consentire ai browser di ricordare le password, semplicemente perché i browser erano terribili: hanno consentito l'accesso senza una password principale e utilizzato metodi di crittografia scadenti. Alcuni di questi problemi sono stati risolti ora, ma le vecchie abitudini sono dure a morire!