We are used to store passwords in Browsers for online login accounts. Where and how those passwords are saved and I hope it is encrypted ?
Dipende dallo specifico gestore di password. Alcuni potrebbero crittografare e alcuni potrebbero fare affidamento sulla sicurezza del sistema. Alcuni potrebbero memorizzare solo password locali e alcune memorizzarle nel cloud per sincronizzarsi tra sistemi diversi.
Normally, the browser prompts for credentials (local) when we try to retrieve a password manually (eg : Chrome).
Questo dipende anche dal gestore password. Alcuni ti chiedono se vuoi compilare i dati, alcuni lo fanno senza chiedere. Alcuni hanno una password principale che devi inserire mentre altri no.
I have seen there are tools such as Poison Tap where it can exploit browser sessions in a locked machine. Can these tools enhanced to exploit saved web credentials in a Browser?
Se la password è compilata automaticamente (cioè senza chiedere all'utente) potrebbe essere possibile. Come esattamente dipende dal sito ma con strumenti di siti HTTP come PoisonTap potrebbe essere d'aiuto. In questo caso non importa molto se il sistema è bloccato o meno finché il traffico può essere intercettato e modificato. Quando viene utilizzato HTTPS, potrebbe essere possibile fare lo stesso se esiste un exploit XSS per il sito.
Generally how safe it is to save online credentials in a Browser?
Dipende dalla qualità e dal comportamento dei gestori di password e anche da quale sarebbe l'alternativa. Se l'alternativa è usare la stessa password per tutti i siti perché non puoi ricordarne un'altra, allora la maggior parte dei gestori di password probabilmente fornisce una sicurezza migliore.
Vedi anche il documento Password Manager: attacchi e difese per informazioni più approfondite.