<div dir="ltr"><div dir="ltr">On Fri, Jun 11, 2021 at 12:48 PM Matthew Petach <<a href="mailto:mpetach@netflight.com">mpetach@netflight.com</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><br></div><div class="gmail_quote"><div>That's the part that would leave me concerned. </div><div>Having my email password compromised?  </div><div>That's a bit of a "meh" moment.</div><div>Suddenly discovering that one password now gave access to </div><div>potentially all my financial accounts as well?  </div><div>That's a wake up in the night with cold sweats moment.  :(</div></div></div></blockquote><div><br></div><div>Just a note about security threat modeling: your email password can generally be used to reset all your other passwords, so actually having your email password compromised is one of the most terrifying situations of all.  Unless, of course, you use a security key with gmail, in which case compromise of your password may not get the attacker very far. ;)</div><div><br></div><div>The Chrome password manager is convenient, and the sync can be incredibly handy (I can sign into stuff on different computers or even my phone without needing to copy over the passwords), but you might consider leaving your highest-value passwords out of that system, or really any system.  Personally, my financial passwords are not known by Chrome, myself, or even my password manager.  (Yes, you heard that right -- no single entity knows the passwords.  How?  By using a simple secret-splitting scheme -- I memorize part of the password, and my password manager stores the rest.)</div><div><br></div><div>Damian</div></div></div>