<div dir="ltr"><div dir="ltr"><br></div><div dir="ltr">  Scott, Google's computer is able to compose an html document which<br>
contains my passwords in plain text. Whatever dance they do to either<br>
side of that point in their process, at that point they possess my<br>
passwords in plain text. Why is this concept a mystery to anyone?</div><div dir="ltr"><br></div><div>Because it's wrong, they don't have your passwords you do (more accurately your device does).  They don't combine the decryption keys with the encrypted data, your device does. This is the case whenever something is encrypted rather than hashed.  It's literally impossible to provide a password saving mechanism that hashes the credentials.<br></div><div dir="ltr"><br></div><div dir="ltr"><br></div><div dir="ltr">  If I had authorized it, it would indeed be just like any other<br>
password managing web site. I did not knowingly authorize it. They<br>
snuck it on me.</div><div dir="ltr"><br></div><div>You did authorize, you just didn't read the fine print.  Having said that, this part of your complaint is definitely the one that has the most merit IMO since if you enable it on mobile it directs you to a web page that you can't see at that time.<br></div><div><br></div><div>If you're concerned then I'd recommend setting a synch phrase, which makes it impossible for Google to decrypt the credentials without you inputting it and they do not store it.</div><div><br></div><div><a href="https://support.google.com/chrome/answer/165139?visit_id=637591216572649483-884903087&rd=1">https://support.google.com/chrome/answer/165139?visit_id=637591216572649483-884903087&rd=1</a><br></div><div dir="ltr"><br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr">Scott Helms<br><br></div></div></div></div></div></div></div></div></div></div></div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Jun 12, 2021 at 10:29 AM William Herrin <<a href="mailto:bill@herrin.us">bill@herrin.us</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Sat, Jun 12, 2021 at 5:11 AM K. Scott Helms <<a href="mailto:kscott.helms@gmail.com" target="_blank">kscott.helms@gmail.com</a>> wrote:<br>
> Encryption != plain text, just because it's not a hash doesn't mean it's problematic (if done correctly).<br>
<br>
Scott, Google's computer is able to compose an html document which<br>
contains my passwords in plain text. Whatever dance they do to either<br>
side of that point in their process, at that point they possess my<br>
passwords in plain text. Why is this concept a mystery to anyone?<br>
<br>
<br>
> This is the exact same method that every single password management system uses and all are far better for the average user than trying to reuse a single password or write them down.<br>
<br>
If I had authorized it, it would indeed be just like any other<br>
password managing web site. I did not knowingly authorize it. They<br>
snuck it on me.<br>
<br>
Regards,<br>
Bill Herrin<br>
<br>
<br>
-- <br>
William Herrin<br>
<a href="mailto:bill@herrin.us" target="_blank">bill@herrin.us</a><br>
<a href="https://bill.herrin.us/" rel="noreferrer" target="_blank">https://bill.herrin.us/</a><br>
</blockquote></div></div>