Jos tallennatte salasanoja Microsoft Edgeen, teidän on syytä olla tietoisia turvallisuusriskistä. Tuoreen paljastuksen mukaan selain lataa välittömästi Edgen avatessanne kaikki tallennetut salasanat muistiin luettavassa muodossa — ei vain sen verkkosivuston salasanaa, jolle olette kirjautumassa. Tämä tarkoittaa, että jokaisen Edgeen tallennetun tilin kirjautumistiedot voivat altistua, jos haittaohjelma, vaarantunut ylläpitäjän tili tai muu hyökkääjä pääsee käsiksi laitteeseenne tai käyttäjäistuntoonne.

Havainnon julkisti tietoturvatutkija Tom Jøran Sønstebyseter Rønning(uusi ikkuna), jonka mukaan Microsoft vastasi toiminnan olevan ”suunniteltua”.

Microsoftin oma dokumentaatio kertoo, että Edge salaa tallennetut salasanat levylle käyttämällä AES (Advanced Encryption Standard) -menetelmää ja myöntää, että salasanat voivat altistua, jos käyttäjäistunto tai laite on vaarantunut. Uusi paljastus ei kiistä tätä, mutta nostaa esiin toisen huolenaiheen: Edge lataa kaikki tallennetut salasanat luettavaan muistiin heti selaimen käynnistyessä, mikä tekee muistista kaappaamisesta huomattavasti arvokkaampaa, mikäli hyökkääjä saa riittävät käyttöoikeudet.

Tämä tapahtuu vuosi sen jälkeen, kun Microsoft kavensi salasanojen hallintaa Edgen ympärille poistamalla käytöstä salasanojen tallennuksen ja automaattitäytön Microsoft Authenticatorissa ja ohjaamalla Microsoftin salasanaominaisuuksia käyttävät käyttäjät omaan selaimeensa.

Miten Microsoft Edge käsittelee tallennettuja salasanoja

Salasanojen kuuluisi olla suojattuja salauksella, kun ne on tallennettu: salaus muuttaa luettavan salasanan (pelkkä teksti) lukukelvottomaksi tiedoksi (salateksti). Jotta salasanaa voidaan käyttää automaattitäyttöön, selaimen on lopulta purettava salaus takaisin luettavaan muotoon. Tärkeä kysymys kuuluukin: kuinka paljon salasanatietoja muuttuu luettavaksi kerralla?

Tietoturvatutkija Tom Jøran Sønstebyseter Rønning sanoo Microsoft Edgen lataavan kaikki tallennetut salasanat selaimen muistiin pelkkänä tekstinä heti käynnistyksen yhteydessä sen sijaan, että se purkisi vain tietyn salasanan tarvittaessa. Tämä koskee kaikkia Edgen salasananhallintaan tallennettuja salasanoja, jopa niitä verkkosivustoja, joilla ette vieraile tai joissa ette käytä automaattitäyttöä nykyisen selausistunnon aikana.

Pääte, joka näyttää, kuinka Microsoft Edge säilyttää tallennettuja salasanoja näkyvissä pelkkänä tekstinä
Lähde: @L1v1ng0ffTh3L4N palvelussa X

Tämä tekee Edgen uudelleentunnistautumiskehotteesta harhaanjohtavan tuntuisen: käyttöliittymä pyytää todistamaan henkilöllisyytenne ennen salasanan paljastamista, vaikka selainprosessilla on jo kaikki tallennetut salasanat saatavilla luettavassa muodossa.

Tutkija testasi tätä toimintaa useilla Chromium-pohjaisilla selaimilla, mukaan lukien Google Chrome, Brave, Vivaldi, Opera ja Microsoft Edge. Vain Edge toimi tällä tavalla.

Riittää, että Microsoft Edge jätetään auki

Tietoturvatutkija Rob VandenBrink, kirjoittaessaan SANS Internet Storm Centerille(uusi ikkuna), toisti ongelman jättämällä Microsoft Edgen auki ja analysoimalla käynnissä olevan selainistunnon muistivedosta. Hän osoitti, kuinka sisäänkirjautunut Windows-käyttäjä voi vedostaa tallennetut Edge-kirjautumistietonsa ilman lisäoikeuksia, mikä tarkoittaa myös sitä, että kyseisen käyttäjän oikeuksilla suoritettava haittaohjelma voisi mahdollisesti myös päästä käsiksi noihin tietoihin.

Kaksi vierekkäistä paneelia, jotka näyttävät, kuinka Microsoft Edgelle voidaan helposti luoda muistivedostiedosto Windowsin tehtävienhallinnan avulla ja kuinka kaikki tallennetut salasanat ovat helposti nähtävissä tallennetussa DMP-tiedostossa
Lähde: Rob VandenBrink palvelussa SANS Internet Storm Center

Yksi vaarantunut istunto voi paljastaa kaikki salasananne

Jos hyökkääjä saa riittävät käyttöoikeudet laitteeseen tai käyttäjäistuntoon, hän saattaa kyetä tarkastelemaan selaimen muistia. Jos vain yksi salasana puretaan tarvittaessa, hyökkääjällä on pienempi aikaikkuna ja vähemmän tietoa kaapattavana. Mutta jos jokainen tallennettu salasana on jo valmiiksi muistissa ilman salauksen suojaa, muistin kaappaamisesta tulee huomattavasti vaarallisempaa.

Riski on erityisen vakava jaetuissa ympäristöissä, kuten päätetunnuspalvelimilla, etätyöpöydillä, virtuaalisissa työpöytäinfrastruktuureissa tai järjestelmissä, joihin on kirjautuneena useita käyttäjiä samanaikaisesti. Vaarantunut ylläpitäjän tili voisi poimia tallennettuja kirjautumistietoja muilta sisäänkirjautuneilta käyttäjiltä, mukaan lukien katkaistut istunnot, joissa Edge oli edelleen käynnissä.

Mitä tehdä, jos olette tallentaneet salasanoja Microsoft Edgeen

Tämä ei tarkoita, että jokaisen Microsoft Edge -käyttäjän tietoihin olisi murtauduttu, mutta yksityishenkilöiden ja organisaatioiden tulisi harkita uudelleen, onko Edge oikea paikka kirjautumistietojen tallentamiseen. Näin voitte pysyä turvassa:

  • Lopettakaa uusien salasanojen tallentaminen Microsoftin selaimeen ja poistakaa Edgen salasananhallinta käytöstä.
  • Siirtäkää tallennetut kirjautumistietonne turvalliseen salasananhallintaan. Voitte helposti tuoda Edge-salasanat Proton Passiin.
  • Poistakaa Edgeen tallennetut salasanat siirron jälkeen.
  • Vaihda suuren riskin salasanat ja tee niistä yksilöllisiä aloittaen sähköpostista, tileistä pankkipalveluissa, ylläpitäjän työkaluista, saapuneet-kansioista joita käytetään salasanojen palautukseen sekä työtileistä. Salasananhallinnassamme on integroitu työkalu tätä tarkoitusta varten, mutta voitte käyttää myös salasanageneraattoriamme.
  • Käyttäkää kaksivaiheista tunnistautumista (2FA) tai pääsyavaimia aina kun mahdollista, mikä auttaa rajoittamaan vahinkoja, jos salasana paljastuu. Proton Pass tukee pääsyavaimia ja 2FA-tunnistautumista kaikilla tallennetuilla tileillänne. Voitte myös käyttää tunnistautumissovellustamme hallitaksenne Proton-tilillenne pääsyä turvallisesti.
  • IT-tiimeille: Tarkistakaa Edgen salasanakäytännöt ja poistakaa käytöstä salasanojen tallennus selaimeen vähentääksenne organisaation riskiä. Keskitetysti hallittu yritysten salasananhallinta on parempi vaihtoehto kuin se, että työntekijät tallentavat salasanoja yksittäisiin selaimiin.

Salasananne ansaitsevat parempaa kuin Microsoft Edgen

Microsoft Edgen tietopalvelu on muistutus siitä, että herkimpiä kirjautumistietojanne ei tulisi tallentaa salasananhallintaan, jonka omistava yritys pitää tällaista paljastumista odotettuna käytöksenä, vaikka se aiheuttaa ilmeisiä turvallisuusongelmia yksityishenkilöille ja organisaatioille.

Proton Passin avulla salasananne, aliaksenne, pääsyavaimenne ja 2FA-koodinne on suojattu päästä päähän -salauksella, ja hallitsette itse sitä, missä ja miten käytätte niitä.

Luo ilmainen Proton Pass -tili