2026 年了，在 chrome 保存密码还安全么

Windows 的安全模型里，可执行程序没有身份，最细的权限粒度基本上就是“用户”（会话、窗口站点、桌面基本上和用户这一套是正交的），如果用户 A （人）用用户 B （ Windows 权限控制模型的对象）的身份运行程序 C ，那么 C 可以访问所有用户 B 的信息。

可执行程序没有身份，所以不存在加密方式，使仅某个可执行程序可以解密。所谓 app-bound encryption 只是让恶意软件需要绕路（实际上解密的进程是以用户 SYSTEM 的身份运行的，并检查请求解密的进程是 Chrome ），并不能从权限模型上禁止恶意软件。绕过方法很简单：用户 B 当然是有权限调试用户 B 的进程的，因此恶意软件以用户 B 的身份启动后，只需要调试用户 B 的 Chrome 即可注入任意代码，包括“解密之后发送出去”这种代码，此时 SYSTEM 身份的进程会认为请求解密的程序是 Chrome ，所以会同意。

实际上，要给用户 B 身份的非 app container 的应用程序注入代码非常简单，因为 shell 是可扩展的，只要注册一个 shell 扩展，那么在用户使用“打开”“保存”这类对话框的时候就很可能会加载此扩展。

预防针提示：Windows 8 引入的 app container 只能确保 container D 不能干扰 container D 之外的东西，不能确保用户 B 不能干扰它的 containers 。

所以答案取决于如何理解“安全”，按照“在模型下满足模型里的约束”的定义，当然是安全的。

密码现在我觉得没啥重要的，
2fa ，加硬件 key

以前没有 2FA 的时候从来不在浏览器保存密码，依赖密码管理器填充。最近几年强制各种各样的 2FA 迫使我在浏览器里记住密码。本地 2FA 变成了 1FA 。

真正重要的密钥用 yubikey ，私人银行账户不属于这类（银行也不给用）。

edge 浏览器就是检验 chrome 浏览器是否安全的最可靠的工具
你在 chrome 里面新建一个密码，打开 edge 看一下有没有同步过来

edge 能偷，其他软件也能偷

取决于你设备里的其他软件，如果它们想利用 chrome 漏洞窃取密码的话

我就是那种用隐私换方便的人，不管什么网站，都会保存，反正又不会在网站上等银行账户什么的