Moin,
die Eingangsfrage hat einige Relevanz, denn wie man sie auch beantwortet, es leiten sich daraus ganz entscheidende Sicherheitsmaßnahmen ab. Ich sehe das als Laie bisher so:
Bei der Nutzung eines Passwortmanagers ist es zwingend, dass die ausgefüllten Formulare bzw. die eingegebenen Passwörter durch nichts und niemand mitgelesen oder ausgelesen werden können. Das ist quasi das Urvertrauen des Nutzers in einen PW-Manager.
Es ist dabei auch unerheblich, ob der PW-Manager im Browser oder lokal betrieben wird, ob er sich im Betriebssystem befindet oder extern aufgesetzt wird und um welchen PW-Manager es sich auch immer handeln mag.
In dem Moment, in dem z.B. eine Browsererweiterung oder irgend eine andere Instanz die Passwörter und Zugangsdaten mitlesen könnte, wäre der PW-Manager umgehend obsolet. Es würde sich sofort und zwingend verbieten, einen PW-Manager zu benutzen. Denn das damit einher gehende Sicherheitsrisiko wäre immens.
Es handelt sich ja in der Regel nicht nur um relativ unbedeutende Zugangsdaten (wie z.B. zu Blogs o.ä.), sondern eben auch um höchst sensible Daten für Banken usw.
Ich nutze z.B. Dashlane als PW-Manager, der Gewinn an Komfort und Usability ist enorm. Die hier gestellte Frage wird dort u.a. so beantwortet:
„Keine Dashlane-Mitarbeiter können Ihre Anmeldungen oder persönlichen Daten sehen, aufgrund unseres „Zero-Knowledge“-Sicherheitssystems. Überall dort, wo wir Ihre Anmeldungen oder persönlichen Daten speichern - einschließlich unserer Server - werden Ihre Daten mit dem bestmöglichen Sicherheitssystem verschlüsselt.
Der einzige Weg, die Daten zu sehen, die Sie in Dashlane speichern, besteht darin, sich mit Ihrem Master-Passwort auf einem von Ihnen genehmigten Gerät anzumelden. Wir kennen Ihr Master-Passwort nicht. Nur Sie kennen Ihr Master-Passwort, daher können nur Sie Ihre Daten sehen.
Überall dort, wo wir Ihre Anmeldungen oder persönlichen Informationen speichern, einschließlich unserer Server, werden Ihre Daten mit modernsten Sicherheitssystemen verschlüsselt.”
Natürlich gilt dies in gleicher Weise auch für alle anderen PW-Manager. Dies bedeutet für mich nun bislang folgendes:
Erstens gehe ich (bislang) vollständig davon aus, dass alle (!) Daten bei der Nutzung des PW-Managers umfassend geschützt sind und niemand von außen Zugriff auf die Eingabe der Daten nehmen kann. Egal ob es sich um Extensions, den Browser selbst, Systemkomponenten, Hackerangriffe oder was auch immer handelt.
Und zweitens wurde genau diese Sicherheit von PW-Manager in vielen Test-Reihen nie infrage gestellt.
Kurzum: Wenn schon einfache Browsererweiterungen die ausgefüllten Daten eines PW-Managers mitlesen könnten, wäre die Nutzung eines PW-Managers nicht nur völlig sinnfrei, sondern höchst gefährlich. Und dabei nur auf die Seriosität einer Erweiterung (z.B. ublock origin) zu vertrauen, verbietet sich n.m.M. von selbst.
Pardon für die etwas längeren Ausführungen. Sehe ich dies denn alles falsch?