A titkosított tárolás Chrome-ban default, TC-ben opcionális, ha jól tudom, és anno pont azért volt ordenáré szívás a TC-s tárolt jelszavakból, mert egy jól irányzott malware, ami admin joggalé futott, minden user tc-s jelszótárjához hozzáfért.
Szívás azért volt belőle, mert amikor még erre specializálódtak a malware-ek (több, mint egy évtizede), akkor a Total Commander még nem tudta titkosítottan tárolni a jelszavakat és az akkori svájci exporttörvények miatt Ghisler nem is implementálhatott titkosítást a TC-be. Chrome ekkor még nem is létezett.
Még mielőtt megpróbálnál összemosni különböző támadási vektorokat, emlékeztetnélek, hogy malware-ek (trójaik, egyéb kémszoftverek) által lenyúlt jelszavakról volt szó. Onnantól kezdve, hogy futó malware-ről beszélünk, teljesen mindegy, hogy egy Copy() vagy helyben lefuttatott CryptUnprotectData() lopja ki a jelszavakat. Mindkettő ugyanúgy lefuttatható egy lépésben limitált userként és sikeres lesz.
Az ftp-jelszavakat meg totál fölösleges egyébként titkosítva tárolni - elég a malware-nek a tcp-streamhez hozzáférni, abból simán ki tudja szedni, gyakorlatilag nulla erőfeszítéssel... :-P
Kivéve, ha AUTH TLS be van kapcsolva. Ha pedig a TCP streamhez való (admin jog nélküli) hozzáférés nulla erőfeszítéssel implementálható, akkor a CryptUnprotectData() meghívása -1 erőfeszítéssel. Mire a le nem tárolt (vagy mesterjelszóval védett) TC jelszót ellopja a malware, addigra már rég ellopta a Chrome-ban tárolt jelszavakat, amit amúgy esélyed nincs normálisan levédeni, még akkor sem, ha kitalálhatatlan jelszóval véded a Windows-profilod. Te pedig ezt próbálod biztonságosabbnak™ beállítani a TC által felkínált FTP-jelszavak védelmét illető lehetőségeknél. Lehet, hogy lassan ideje lenne elismerned, hogy Christian Ghisler egyszemélyben képes volt tanulni korábbi hibájából és jobban védhetővé tenni az FTP jelszavakat, mint egy dollármilliárdos multi?