Pokud si ukládáte hesla v prohlížeči Microsoft Edge, existuje bezpečnostní riziko, o kterém byste měli vědět. Podle nového zjištění pokaždé, když otevřete Edge, prohlížeč okamžitě načte všechna uložená hesla do paměti v čitelné podobě – nikoli pouze heslo pro web, ke kterému se právě přihlašujete. To znamená, že přihlašovací údaje ke každému účtu uloženému v prohlížeči Edge by mohly být vyzrazeny, pokud by malware, kompromitovaný účet správce nebo jiný útočník získal přístup k vašemu zařízení nebo relaci uživatele.
Zjištění zveřejnil bezpečnostní výzkumník Tom Jøran Sønstebyseter Rønning(nové okno), který uvádí, že reakce společnosti Microsoft byla taková, že toto chování je „záměrné“.
Vlastní dokumentace společnosti Microsoft uvádí, že Edge ukládá uložená hesla na disk šifrovaná pomocí standardu AES (Advanced Encryption Standard) a uznává, že hesla mohou být vyzrazena, pokud je relace uživatele nebo zařízení kompromitováno. Nové zjištění to nerozporuje, ale vyvolává jiné obavy: Edge načte všechna uložená hesla do čitelné paměti, jakmile se prohlížeč spustí, takže vytěžování paměti je mnohem přínosnější, pokud útočník získá dostatečný přístup.
To přichází rok poté, co Microsoft omezil správu hesel v prohlížeči Edge postupným ukončením ukládání hesel a automatického vyplňování v aplikaci Microsoft Authenticator, čímž uživatele, kteří chtěli nadále používat funkce hesel od Microsoftu, nasměroval ke svému vlastnímu prohlížeči.
Jak Microsoft Edge nakládá s uloženými hesly
Hesla by měla být při uložení chráněna šifrováním: Šifrování změní čitelné heslo (prostý text) na nečitelná data (šifrovaný text). Aby bylo možné použít toto heslo pro automatické vyplňování, musí jej prohlížeč nakonec dešifrovat zpět do čitelné podoby. Důležitou otázkou je: Kolik údajů o heslech se stane čitelnými najednou?
Bezpečnostní výzkumník Tom Jøran Sønstebyseter Rønning uvádí, že Microsoft Edge načte všechna uložená hesla do paměti prohlížeče jako prostý text ihned po spuštění, namísto toho, aby dešifroval konkrétní heslo pouze v případě potřeby. To zahrnuje všechna hesla uložená ve správci hesel Edge, a to i pro weby, které během aktuální relace prohlížení nenavštívíte ani pro ně nepoužijete automatické vyplňování.
Díky tomu působí výzva prohlížeče Edge k opětovnému ověření zavádějícím dojmem: Rozhraní vás žádá o prokázání identity před zobrazením hesla, ačkoli proces prohlížeče již má každé uložené heslo k dispozici v čitelné podobě.
Výzkumník toto chování testoval ve více prohlížečích založených na projektu Chromium, včetně prohlížečů Google Chrome, Brave, Vivaldi, Opera a Microsoft Edge. Pouze Edge vykazoval toto chování.
Stačí nechat Microsoft Edge otevřený
Bezpečnostní výzkumník Rob VandenBrink v článku pro SANS Internet Storm Center(nové okno) problém zreprodukoval tak, že nechal Microsoft Edge otevřený a analyzoval výpis paměti běžící relace prohlížeče. Předvedl, jak může přihlášený uživatel systému Windows vypsat své uložené přihlašovací údaje z Edge bez dalších oprávnění, což také znamená, že malware spuštěný pod tímto uživatelem by k těmto přihlašovacím údajům mohl potenciálně přistupovat také.
Jedna kompromitovaná relace může odhalit všechna vaše hesla
Pokud útočník získá dostatečný přístup k zařízení nebo relaci uživatele, může být schopen prozkoumat paměť prohlížeče. Pokud by se v případě potřeby dešifrovalo pouze jedno heslo, útočník má menší časové okno a méně dat k zachycení. Pokud však každé uložené heslo již v paměti leží nechráněné šifrováním, vytěžování paměti se stává mnohem přínosnějším.
Riziko je obzvláště vážné ve sdílených prostředích, jako jsou terminálové servery, vzdálené plochy, infrastruktura virtuálních ploch nebo systémy, kde je současně přihlášeno více uživatelů. Kompromitovaný účet správce by mohl extrahovat uložené přihlašovací údaje ostatních přihlášených uživatelů, a to včetně odpojených relací, v nichž Edge stále běžel.
Co dělat, pokud jste si v prohlížeči Microsoft Edge uložili hesla
To neznamená, že každý uživatel prohlížeče Microsoft Edge byl napaden, ale jednotlivci i organizace by měli zvážit, zda je Edge tím správným místem pro ukládání přihlašovacích údajů. Zde je návod, jak zůstat v bezpečí:
- Přestaňte ukládat nová hesla do prohlížeče Microsoft a vypněte správce hesel Edge.
- Přesuňte své uložené přihlašovací údaje do zabezpečeného správce hesel. Hesla z prohlížeče Edge můžete snadno importovat do služby Proton Pass.
- Po migraci smažte hesla uložená v prohlížeči Edge.
- Změňte si vysoce riziková hesla a dbejte na to, aby byla unikátní, počínaje e-mailem, přes finanční účty, nástroje pro správce, doručenou poštu pro resetování hesel až po pracovní účty. Náš správce hesel má pro tento účel integrovaný nástroj, ale můžete použít i náš generátor hesel.
- Kde je to možné, aktivujte dvoufázové ověření (2FA) nebo přístupové klíče, což pomůže zmírnit škody v případě vyzrazení hesla. Proton Pass podporuje přístupové klíče a 2FA pro všechny Vaše uložené účty. K bezpečné správě přístupu ke svému účtu Proton můžete také využít naši ověřovací aplikaci.
- Pro IT týmy: Prověřte zásady hesel v prohlížeči Edge a deaktivujte ukládání hesel v prohlížeči, abyste snížili riziko pro organizaci. Centrálně ovládaný firemní správce hesel je lepším řešením než ukládání hesel zaměstnanci v jednotlivých prohlížečích.
Vaše hesla si zaslouží něco lepšího než Microsoft Edge
Odhalení v prohlížeči Microsoft Edge je připomínkou toho, že Vaše nejcitlivější přihlašovací údaje by neměly být uloženy ve správci hesel vlastněném společností, která k tomuto druhu ohrožení přistupuje jako k očekávanému chování, ačkoli vyvolává zřejmé obavy o bezpečnost jednotlivců i organizací.
Se službou Proton Pass jsou Vaše hesla, aliasy, přístupové klíče a kódy 2FA chráněny koncovým šifrováním a Vy máte plnou kontrolu nad tím, kde a jak je používáte.
