<p dir="ltr"><br>
On Jun 24, 2016 4:49 PM, "Jerry Durand via Stagecraft" <<a href="mailto:stagecraft@theatrical.net">stagecraft@theatrical.net</a>> wrote:<br>
><br>
><br>
><br>
> On 06/24/2016 04:00 PM, Ray Gibson via Stagecraft wrote:<br>
>><br>
>> Someone who wants to hack your paypal account and sell it on the dark web would need your password AND your phone -- something that's unlikely to happen at the same time.<br>
><br>
><br>
> Actually, I find that very likely.  You browser probably has the password memorized and sync'd between devices, so someone stealing your phone has all your passwords AND your phone.<br>
></p>
<p dir="ltr">This is just as likely as stealing your keys that have your RSA token attached, except that you can put a lock screen on your phone to prevent someone from opening your TOTP application or getting your text messages. One probably shouldn't be saving passwords in their browser either, but that's just my opinion.</p>
<p dir="ltr">Even if you lose your phone with passwords synchronized and no lock screen, it can still only be exploited by the person with your phone, not a phisher and certainly not anyone on the dark web, at least in a reasonable amount of time.</p>