Wenn du Passwörter in Microsoft Edge speicherst, gibt es ein Sicherheitsrisiko, das du kennen solltest. Einem neuen Bericht zufolge lädt der Browser jedes Mal, wenn du Edge öffnest, sofort alle gespeicherten Passwörter in lesbarer Form in den Speicher – nicht nur das Passwort für die Website, bei der du dich gerade anmeldest. Das bedeutet, dass die Anmeldedaten für jedes in Edge gespeicherte Konto offengelegt werden könnten, wenn Malware, ein gefährdetes Administratorkonto oder ein anderer Angreifer Zugriff auf dein Gerät oder deine Sitzung erhält.

Die Entdeckung wurde vom Sicherheitsforscher Tom Jøran Sønstebyseter Rønning(neues Fenster) veröffentlicht. Er gibt an, dass die Reaktion von Microsoft war, das Verhalten sei „beabsichtigt“ (by design).

Microsofts eigene Dokumentation besagt, dass Edge gespeicherte Passwörter auf der Festplatte mit AES (Advanced Encryption Standard) verschlüsselt, und räumt ein, dass Passwörter offengelegt werden können, wenn die Sitzung des Benutzers oder das Gerät gefährdet ist. Der neue Bericht bestreitet dies nicht, wirft aber ein anderes Bedenken auf: Edge lädt alle gespeicherten Passwörter in den gelesenen Speicher, sobald der Browser startet, was das Auslesen des Speichers (Memory Scraping) viel lohnender macht, falls ein Angreifer ausreichenden Zugriff erhält.

Dies geschieht ein Jahr nachdem Microsoft die Passwortverwaltung auf Edge einschränkte, indem es die Passwortspeicherung und das automatische Ausfüllen in Microsoft Authenticator einstellte und Benutzer, die Microsofts Passwortfunktionen weiter nutzen wollten, zu seinem eigenen Browser drängte.

Wie Microsoft Edge mit gespeicherten Passwörtern umgeht

Passwörter sollten bei der Speicherung durch Verschlüsselung geschützt sein: Verschlüsselung verwandelt ein lesbares Passwort (Klartext) in unlesbare Daten (Geheimtext). Um dieses Passwort für das automatische Ausfüllen zu verwenden, muss ein Browser es schließlich wieder in lesbare Form entschlüsseln. Die wichtige Frage ist: Wie viele Passwortdaten werden auf einmal lesbar?

Der Sicherheitsforscher Tom Jøran Sønstebyseter Rønning sagt, dass Microsoft Edge alle gespeicherten Passwörter sofort nach dem Start im Klartext in den Arbeitsspeicher des Browsers lädt, anstatt nur ein bestimmtes Passwort zu entschlüsseln, wenn es benötigt wird. Dies umfasst alle im Edge Passwort-Manager gespeicherten Passwörter, selbst jene für Websites, die du während der aktuellen Sitzung gar nicht besuchst oder für die du kein automatisches Ausfüllen nutzt.

Ein Terminal, das zeigt, wie Microsoft Edge gespeicherte Passwörter im Klartext offenlegt
Quelle: @L1v1ng0ffTh3L4N auf X

Das lässt die Aufforderung zur erneuten Authentifizierung in Edge irreführend erscheinen: Die Benutzeroberfläche fordert dich auf, deine Identität nachzuweisen, bevor ein Passwort angezeigt wird, obwohl der Browserprozess bereits jedes gespeicherte Passwort in lesbarer Form zur Verfügung hat.

Der Forscher testete dieses Verhalten bei mehreren Chromium-basierten Browsern, darunter Google Chrome, Brave, Vivaldi, Opera und Microsoft Edge. Nur Edge wies dieses Verhalten auf.

Es reicht aus, Microsoft Edge einfach nur geöffnet zu lassen

Der Sicherheitsforscher Rob VandenBrink schrieb für das SANS Internet Storm Center(neues Fenster) und reproduzierte das Problem, indem er Microsoft Edge geöffnet ließ und einen Speicherabzug der laufenden Browser-Sitzung analysierte. Er demonstrierte, wie ein angemeldeter Windows-Benutzer seine gespeicherten Edge-Anmeldedaten ohne zusätzliche Rechte extrahieren kann, was auch bedeutet, dass Malware, die unter diesem Benutzer ausgeführt wird, potenziell ebenfalls auf diese Anmeldedaten zugreifen könnte.

Zwei nebeneinander liegende Bedienfelder, die zeigen, wie man mit dem Windows Task-Manager ganz einfach eine Speicherabbild-Datei für Microsoft Edge erstellt und wie man alle gespeicherten Passwörter in der erfassten DMP-Datei leicht anzeigen kann
Quelle: Rob VandenBrink im SANS Internet Storm Center

Eine einzige gefährdete Sitzung kann all deine Passwörter offenlegen

Wenn ein Angreifer ausreichenden Zugriff auf das Gerät oder die Sitzung des Benutzers erhält, kann er möglicherweise den Speicher des Browsers untersuchen. Wenn nur ein Passwort bei Bedarf entschlüsselt wird, hat der Angreifer ein kleineres Zeitfenster und weniger Daten zum Erfassen. Wenn aber jedes gespeicherte Passwort bereits ungeschützt durch Verschlüsselung im Speicher liegt, wird das Auslesen des Speichers weitaus lohnender.

Das Risiko ist in gemeinsam genutzten Umgebungen besonders schwerwiegend, wie etwa auf Terminalservern, Remote-Desktops, virtuellen Desktop-Infrastrukturen oder Systemen, bei denen mehrere Benutzer gleichzeitig angemeldet sind. Ein gefährdetes Administratorkonto könnte gespeicherte Anmeldedaten von anderen angemeldeten Benutzern extrahieren, einschließlich getrennter Sitzungen, in denen Edge noch lief.

Was du tun kannst, wenn du Passwörter in Microsoft Edge gespeichert hast

Das bedeutet nicht, dass jeder Benutzer von Microsoft Edge gehackt wurde, aber Einzelpersonen und Organisationen sollten überdenken, ob Edge der richtige Ort zum Speichern von Anmeldedaten ist. Hier ist, was du tun kannst, um sicher zu bleiben:

  • Höre auf, neue Passwörter im Browser von Microsoft zu speichern, und deaktiviere den Edge Passwort-Manager.
  • Verschiebe deine gespeicherten Anmeldedaten in einen sicheren Passwort-Manager. Du kannst ganz einfach Edge-Passwörter in Proton Pass importieren.
  • Lösche in Edge gespeicherte Passwörter nach der Migration.
  • Ändere Passwörter mit hohem Risiko und mache sie einzigartig, angefangen bei deiner E-Mail, deinen Finanzkonten, Administrator-Tools, Posteingängen für die Passwortzurücksetzung und Arbeitskonten. Unser Passwort-Manager verfügt über ein integriertes Tool für diesen Zweck, du kannst aber auch unseren Passwort-Generator verwenden.
  • Aktiviere nach Möglichkeit die Zwei-Faktor-Authentifizierung (2FA) oder Passkeys, um den Schaden zu begrenzen, falls ein Passwort offengelegt wird. Proton Pass unterstützt Passkeys und 2FA für alle deine gespeicherten Konten. Du kannst auch unsere Authenticator-App verwenden, um das Zugreifen auf dein Proton-Konto sicher zu verwalten.
  • Für IT-Teams: Überprüfe die Edge-Passwort-Richtlinien und deaktiviere das Speichern von Browser-Passwörtern, um das organisatorische Risiko zu verringern. Ein zentral gesteuerter Business-Passwort-Manager ist dem Speichern von Passwörtern in individuellen Browsern durch Mitarbeiter überlegen.

Deine Passwörter verdienen etwas Besseres als Microsoft Edge

Die Offenlegung durch Microsoft Edge ist eine Erinnerung daran, dass deine sensibelsten Anmeldedaten nicht in einem Passwort-Manager gespeichert werden sollten, der einem Unternehmen gehört, das diese Art der Exposition als erwartetes Verhalten betrachtet, obwohl es offensichtliche Sicherheitsbedenken für Einzelpersonen und Organisationen aufwirft.

Mit Proton Pass sind deine Passwörter, Aliase, Passkeys und 2FA-Codes durch Ende-zu-Ende-Verschlüsselung geschützt, und du behältst die Kontrolle darüber, wo und wie du sie verwendest.

Erstelle ein kostenloses Proton-Pass-Konto