<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jun 11, 2021 at 12:32 PM Peter Beckman <<a href="mailto:beckman@angryox.com">beckman@angryox.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Fri, 11 Jun 2021, William Herrin wrote:<br>
<br>
> On Fri, Jun 11, 2021 at 9:42 AM César de Tassis Filho<br>
> <<a href="mailto:ctassisf@gmail.com" target="_blank">ctassisf@gmail.com</a>> wrote:<br>
>> Google does not have access to your plain-text passwords in either case.<br>
><br>
> If they can display the plain text passwords to me on my screen in a<br>
> non-Google web browser then they have access to my plain text<br>
> passwords. Everything else is semantics.<br>
<br>
  Untrue. If you have a key on your computer, such as was mentioned that<br>
  the Google key may be stored locally in the MacOS Keychain, and you unlock<br>
  your MacOS Keychain with your local laptop login password, which is also<br>
  stored on an encrypted disk volume, that does not mean those passwords<br>
  have left your computer in plain text, or that Google has this key that<br>
  lives in your keychain.<br>
<br>
  I agree, if they do, that's terrible. But I haven't seen any evidence that<br>
  they do.<br></blockquote><div><br></div><div>However, if the password is entered on one device (Android device, for example, </div><div>as mentioned in the original post), and then is visible in clear-text on a different </div><div>browser on a different device (laptop, for example, again, from the original post),</div><div>then clearly the password has left the original device in a form which is reversible </div><div>to the original clear text.  You can argue that it may be stored "in the cloud" in </div><div>encrypted form; but it's clearly being stored in a manner which can be reversed </div><div>to gain access to the original clear text, and using a key which is known to both </div><div>devices involved, and to the cloud system validating that authentication.</div><div><br></div><div>This isn't about seeing the passwords in clear text on the same device </div><div>upon which they were entered; this is about a *separate* device having </div><div>visible access to the clear text of a password that was not entered via </div><div>that device.</div><div><br></div><div><div>If the laptop had required Bill to enter a decryption key first in order to </div><div>see the clear text, and that decryption key was one he had manually </div><div>configured on both devices, stored only locally on each device, then </div><div>you might be able to argue that the cloud never has visibility into the </div></div><div>passwords; but if the keys are encrypted using a gmail login credential, </div><div>which is itself stored and verified within the same cloud environment as </div><div>the encrypted password strings it is protecting, then your two factor </div><div>security has collapsed back down into a single point of compromise; </div><div>compromise the google password, and you have access to all the </div><div>passwords that were uploaded and stored in the system unbeknownst </div><div>to the user.</div><div><br></div><div>That's the part that would leave me concerned. </div><div>Having my email password compromised?  </div><div>That's a bit of a "meh" moment.</div><div>Suddenly discovering that one password now gave access to </div><div>potentially all my financial accounts as well?  </div><div>That's a wake up in the night with cold sweats moment.  :(</div><div><br></div><div>Matt</div><div><br></div></div></div>