Browsers geven gebruikers de mogelijkheid om wachtwoorden voor websites op te slaan, maar in veel gevallen gebeurt dat op onveilige wijze waardoor het eenvoudig is voor malware om de opgeslagen inloggegevens te stelen.

In het geval van Chrome was het eenvoudig om de opgeslagen wachtwoorden te bemachtigen. Bij Internet Explorer hangt de moeilijkheidsgraad af van de gebruikte versie. IE 7 t/m 9 gebruiken dezelfde Windows API om wachtwoorden te versleutelen als Chrome, alleen voegt Microsoft's browser extra entropie toe.  In IE10 is de opslag van wachtwoorden gewijzigd, en worden ze voortaan door de Credential Manager bewaard. Volgens Wright is het 'extreem eenvoudig' om de wachtwoorden van IE10 te bemachtigen.

De derde browser die de onderzoeker bekeek was Firefox. Deze browser gebruikt een andere API om opgeslagen wachtwoorden te versleutelen. Bij het aanmaken van een Firefox-profiel wordt deze API gebruikt voor het genereren van een sleutel en salt. Deze sleutel en salt worden vervolgens gebruikt voor het versleutelen van gebruikersnamen en wachtwoorden.  Een aanvaller kan deze sleutel en salt bemachtigen en zo de opgeslagen wachtwoorden alsnog ontsleutelen, tenzij de gebruiker een sterk 'master password' heeft ingesteld.

Al met al concludeert de onderzoeker dat het niet verstandig is om browsers wachtwoorden te laten bewaren, behalve in het geval van Firefox in combinatie met een sterk master password. 

Alles bij de bron; Security