Il faut comprendre comment cela fonctionne pour bien saisir le "risque" de ce genre de sauvegarde.
Je te fais un topo technique assez simplifié.
1° Comment on échange un mot de passe
Que ce soit localement ou le service distant, le mot de passe est systématiquement crypté. Par exemple
Mot de passe: Password
Mdp crypté: asedDC3DF4EDfv"d"D4G4
(je caricature évidemment)
Donc quand tu stockes localement tu stockes asedDC3DF4EDfv"d"D4G4 ... tout comme sur la base cryptée en face.. SAUF QUE l'outil ENVOIE la version cryptée dans le réseau. Par exemple tu tapes un mdp, il est émis crypté et comparé à la valeur sur le serveur. Donc, concrètement, c'est asedDC3DF4EDfv"d"D4G4 qui est émis.
2° Les risques réels du mdp local
En vérité? Risque nul ou presque de décrypter le mot de passe en question. Il y a des certificats et plein de verrous dans tous les sens pour empêcher cela. La crypto est par principe non réversible, donc impossible de décrypter (ou presque... rien n'est réellement impossible on va dire, mais les chances sont ridiculement faibles). De là donc, aucun risque qu'on te vole ce mot de passe.
Là où ça devient plus délicat, c'est si par exemple tu stockes localement ce mot de passe, qu'on prenne la main sur le poste et qu'on accède directement à STEAM. Le truc, c'est que si ton poste est compromis... ben tous les verrous du monde n'empêcheront rien.
Prenons un cas concret: quand tu te connectes à tes mails tu actives également le mot de passe sauvegardé. Cela veut donc dire que je vais demander à Steam de renouveler le mot de passe, en saisir un nouveau sur la messagerie, et donc m'affranchir de ce foutoir.
3° La machine de confiance
C'est un débat à la con. D'un côté valider une machine, c'est le risque de lui permettre de se connecter "trop" facilement. En revanche, ne pas valider rend la procédure d'accès aux outils pénibles car demandant sans arrêt de s'authentifier. Personnellement je valide la machine et basta. De toute manière, si l'on me pirate, m'est avis que la priorité ne sera pas le compte STEAM mais plus mes accès bancaires par exemple. Dans ces cas, la double authentification résout assez bien le problème.
4° Les vrais dangers sont ailleurs...
Les dangers sont plus sur les appareils style mobiles (d'où le verrouillage par code/empreinte), ou sur le piratage d'une messagerie. En effet, on a la quasi obligation de s'adosser à un mail pour les validations. Typiquement, je pirate ton mail, je vais sur STEAM et accède à "mot de passe oublié" en balançant ton mail. Le reçois sur le mail la procédure de renouvellement de mot de passe et le tour est joué.
5° La sécurité relative de la double authentification
Cela fiabilise énormément, mais ce n'est pas absolu. Comme je le disais, si tu accèdes à un mobile, tu as accès aux mails et aux outils d'authentification.
Exemple: je parviens à accéder à ton téléphone. Je peux donc trouver les comptes mails accessibles depuis l'appareil.
Je me logue à STEAM, mot de passe oublié... et authentifie la manipulation via l'appareil volé.
6° Pas de parano!
le vol de données c'est pour l'immense majorité un trou béant dans la sécurité des messageries/outils, ou bien avoir renseigné par erreur ses données dans un site de phishing. Hé oui: le piratage est dans l'immense majorité des cas tout sauf un truc de hacker prenant ta machine en main... mais plus la naïveté/incompétence de l'utilisateur qui est en cause. Nombre d'arnaques jouent sur le "nous sommes Microsoft, on doit manipuler votre PC à distance", ou encore "Votre mot de passe a expiré sur netflix. Veuillez vous connecter pour débloquer le compte".