Dai un'occhiata alla risposta . Ciò che segue dalla risposta è che la variabile memorizzata dalla tua app di Chrome non è accessibile da nessuna altra pagina senza cambiarla tu stesso - tutto ciò che produce dalla tua app è memorizzato nel suo ambiente. Questo è applicabile a entrambe le variabili e all'archiviazione dei dati.
Ciò implica che la tua app sarebbe sicura quanto l'ambiente di Chrome, che probabilmente è il meglio che puoi ottenere.
Per quanto riguarda la password visualizzata negli strumenti Dev del tuo browser: questo comportamento è ineludibile, poiché stai utilizzando JavaScript per la crittografia che richiede di caricare a un certo punto la password come variabile. Ovviamente si potrebbe provare a nascondere la password applicando un blocco temporaneo alla password. In questo scenario è possibile memorizzare il blocco temporaneo e la password crittografata come variabili; la password originale può essere derivata utilizzando queste due variabili. Nota che questo non rende il modo in cui memorizzi la password più sicuro , lo nasconde esclusivamente per l'occhio umano.