Se salvi le password in Microsoft Edge, c’è un rischio di sicurezza che dovresti conoscere. Secondo una nuova divulgazione, ogni volta che apri Edge, il browser carica immediatamente tutte le password salvate in memoria in formato leggibile — non solo la password del sito web a cui stai effettuando l’accesso. Ciò significa che le credenziali di ogni account salvato in Edge potrebbero essere esposte se un malware, un account amministratore compromesso o un altro utente malintenzionato ottiene l’accesso al tuo dispositivo o alla tua sessione utente.

La scoperta è stata divulgata dal ricercatore di sicurezza Tom Jøran Sønstebyseter Rønning(nuova finestra), il quale afferma che la risposta di Microsoft è stata che questo comportamento è previsto dal design.

La documentazione ufficiale di Microsoft afferma che Edge crittografa le password salvate sul disco utilizzando lo standard AES (Advanced Encryption Standard) e riconosce che le password possono essere esposte se la sessione utente o il dispositivo vengono compromessi. La nuova rivelazione non contesta questo punto, ma solleva una preoccupazione diversa: Edge carica tutte le password salvate nella memoria leggibile non appena il browser viene avviato, rendendo lo scraping della memoria molto più vantaggioso se un utente malintenzionato ottiene un accesso sufficiente.

Questo avviene a un anno di distanza da quando Microsoft ha limitato la gestione delle password attorno a Edge eliminando gradualmente l’archiviazione e il riempimento automatico delle password in Microsoft Authenticator, spingendo gli utenti che volevano continuare a usare le funzioni per le password di Microsoft verso il proprio browser.

Come Microsoft Edge gestisce le password salvate

Le password dovrebbero essere protette dalla crittografia quando vengono archiviate: la crittografia trasforma una password leggibile (testo in chiaro) in dati illeggibili (testo cifrato). Per usare quella password per il riempimento automatico, un browser deve alla fine decriptarla riportandola in un formato leggibile. La domanda cruciale è: quanti dati delle password diventano leggibili tutti in una volta?

Il ricercatore di sicurezza Tom Jøran Sønstebyseter Rønning afferma che Microsoft Edge carica tutte le password salvate nella memoria del browser in testo in chiaro non appena viene avviato, invece di decriptare solo una specifica password quando è necessaria. Questo include tutte le password salvate nel gestore di password di Edge, anche quelle per i siti web che non visiti o per cui non usi il riempimento automatico durante la sessione di navigazione corrente.

Un terminale che mostra come Microsoft Edge mantenga le password salvate esposte in testo in chiaro
Fonte: @L1v1ng0ffTh3L4N su X

Ciò rende la richiesta di riautenticazione di Edge fuorviante: l’interfaccia ti chiede di dimostrare la tua identità prima di mostrare una password, sebbene il processo del browser abbia già ogni password salvata disponibile in formato leggibile.

Il ricercatore ha testato questo comportamento su diversi browser basati su Chromium, tra cui Google Chrome, Brave, Vivaldi, Opera e Microsoft Edge. Solo Edge ha mostrato questo comportamento.

Basta semplicemente lasciare aperto Microsoft Edge

Il ricercatore di sicurezza Rob VandenBrink, scrivendo per il SANS Internet Storm Center(nuova finestra), ha riprodotto il problema lasciando Microsoft Edge aperto e analizzando un dump della memoria della sessione del browser in esecuzione. Ha dimostrato come un utente Windows che ha effettuato l’accesso possa scaricare le proprie credenziali di Edge archiviate senza diritti aggiuntivi, il che significa che anche un malware eseguito come quell’utente potrebbe potenzialmente accedere a tali credenziali.

Due pannelli affiancati che mostrano come creare facilmente un file di dump della memoria per Microsoft Edge utilizzando Gestione attività di Windows e come visualizzare facilmente tutte le password salvate nel file DMP catturato
Fonte: Rob VandenBrink sul SANS Internet Storm Center

Una singola sessione compromessa può esporre tutte le tue password

Se un utente malintenzionato ottiene un accesso sufficiente al dispositivo o alla sessione utente, potrebbe essere in grado di ispezionare la memoria del browser. Se venisse decriptata solo una password alla volta quando necessario, l’attaccante avrebbe una finestra temporale più piccola e meno dati da catturare. Ma se ogni password salvata si trova già nella memoria non protetta dalla crittografia, lo scraping della memoria diventa molto più vantaggioso.

Il rischio è particolarmente grave in ambienti condivisi, come terminal server, desktop remoti, infrastrutture desktop virtuali o sistemi in cui più utenti hanno effettuato l’accesso contemporaneamente. Un account amministratore compromesso potrebbe estrarre le credenziali salvate di altri utenti collegati, incluse le sessioni disconnesse in cui Edge era ancora in esecuzione.

Cosa fare se hai salvato le password in Microsoft Edge

Questo non significa che ogni utente di Microsoft Edge sia stato hackerato, ma le persone e le organizzazioni dovrebbero riconsiderare se Edge sia il posto giusto dove archiviare le credenziali. Ecco cosa puoi fare per restare al sicuro:

  • Smetti di salvare nuove password nel browser di Microsoft e disattiva il gestore di password di Edge.
  • Sposta le tue credenziali salvate in un gestore di password sicuro. Puoi facilmente importare le password di Edge in Proton Pass.
  • Elimina le password salvate in Edge dopo la migrazione.
  • Cambia le password ad alto rischio e rendile uniche, a partire dall’email, dai conti finanziari, dagli strumenti di amministrazione, dalle caselle di posta in arrivo per la reimpostazione delle password e dagli account di lavoro. Il nostro gestore di password ha uno strumento integrato a questo scopo, ma puoi anche usare il nostro generatore di password.
  • Attiva l’autenticazione a due fattori (2FA) o le chiavi di accesso dove possibile, per ridurre i danni in caso di esposizione di una password. Proton Pass supporta le chiavi di accesso e il 2FA per tutti i tuoi account salvati. Puoi anche usare la nostra app di autenticazione per gestire in sicurezza l’accesso al tuo account Proton.
  • Per i team IT: rivedi le policy relative alle password di Edge e disattiva l’archiviazione delle password nel browser per ridurre i rischi organizzativi. Un gestore di password aziendale controllato centralmente è preferibile alla memorizzazione delle password da parte dei dipendenti nei singoli browser.

Le tue password meritano di meglio rispetto a Microsoft Edge

La divulgazione relativa a Microsoft Edge ci ricorda che le tue credenziali più sensibili non dovrebbero essere archiviate in un gestore di password di proprietà di un’azienda che tratta questo tipo di esposizione come un comportamento previsto, nonostante sollevi ovvie preoccupazioni per la sicurezza di singoli e organizzazioni.

Con Proton Pass, le tue password, gli alias, le chiavi di accesso e i codici 2FA sono protetti dalla crittografia end-to-end, e mantieni il controllo su dove e come li usi.

Crea un account Proton Pass gratuito