Hvis du lagrer passord i Microsoft Edge, er det en sikkerhetsrisiko du bør vite om. I følge en ny avsløring, hver gang du åpner Edge, laster nettleseren umiddelbart alle lagrede passord inn i minnet i lesbar form — ikke bare passordet for nettstedet du logger på. Det betyr at påloggingsinformasjon for hver konto lagret i Edge kan bli eksponert hvis skadelig programvare, en kompromittert administratorkonto eller en annen angriper får tilgang til enheten din eller brukerøkten.

Funnet ble offentliggjort av sikkerhetsforsker Tom Jøran Sønstebyseter Rønning(nytt vindu), som sier at Microsofts svar var at oppførselen er «by design».

Microsofts egen dokumentasjon sier at Edge krypterer lagrede passord på disken ved hjelp av AES (Advanced Encryption Standard) og erkjenner at passord kan bli eksponert hvis brukerøkten eller enheten blir kompromittert. Den nye avsløringen bestrider ikke det, men reiser en annen bekymring: Edge laster alle lagrede passord inn i lesbart minne så snart nettleseren starter, noe som gjør minneskraping langt mer verdifullt hvis en angriper får tilstrekkelig tilgang.

Dette skjer ett år etter at Microsoft begrenset passordadministrasjon i Edge ved å fase ut passordlagring og autofyll i Microsoft Authenticator, og dermed dytte brukere som ønsket å fortsette å bruke Microsofts passordfunksjoner mot sin egen nettleser.

Hvordan Microsoft Edge håndterer lagrede passord

Passord skal liksom være beskyttet av kryptering når de lagres: Kryptering gjør et lesbart passord (ren tekst) om til uleselige data (chiffertekst). For å bruke det passordet til autofyll, må en nettleser til slutt dekryptere det tilbake til lesbar form. Det viktige spørsmålet er: Hvor mye passorddata blir lesbart samtidig?

Sikkerhetsforsker Tom Jøran Sønstebyseter Rønning sier at Microsoft Edge laster alle lagrede passord inn i nettleserens minne som ren tekst så snart den starter, i stedet for å bare dekryptere et spesifikt passord når det trengs. Dette inkluderer alle passord lagret i passordappen i Edge, selv de for nettsteder du ikke besøker eller bruker autofyll for i løpet av den nåværende økten.

En terminal som viser hvordan Microsoft Edge holder lagrede passord eksponert som ren tekst
Kilde: @L1v1ng0ffTh3L4N på X

Det gjør at Edges forespørsel om ny autentisering føles villedende: Grensesnittet ber deg om å bevise identiteten din før et passord vises, selv om nettleserprosessen allerede har hvert eneste lagrede passord tilgjengelig i lesbar form.

Forskeren testet denne oppførselen på flere Chromium-baserte nettlesere, inkludert Google Chrome, Brave, Vivaldi, Opera og Microsoft Edge. Bare Edge viste denne oppførselen.

Det er nok å bare la Microsoft Edge stå åpen

Sikkerhetsforsker Rob VandenBrink, som skriver for SANS Internet Storm Center(nytt vindu), gjenskapte problemet ved å la Microsoft Edge stå åpen og analysere en minnedump av den kjørende nettleserøkten. Han demonstrerte hvordan en pålogget Windows-bruker kan dumpe sin lagrede påloggingsinformasjon fra Edge uten ytterligere rettigheter, noe som også betyr at skadelig programvare som kjører som den brukeren, potensielt også kan få tilgang til denne påloggingsinformasjonen.

To paneler side ved side som viser hvordan du enkelt kan opprette en minnedump-fil for Microsoft Edge ved hjelp av Windows Oppgavebehandling, og hvordan du enkelt kan se alle lagrede passord i den fangede DMP-filen
Kilde: Rob VandenBrink på SANS Internet Storm Center

Én kompromittert økt kan eksponere alle passordene dine

Hvis en angriper får tilstrekkelig tilgang til enheten eller brukerøkten, kan de være i stand til å inspisere nettleserens minne. Hvis bare ett passord dekrypteres ved behov, har angriperen et mindre vindu og mindre data å fange opp. Men hvis hvert lagrede passord allerede ligger i minnet ubeskyttet av kryptering, blir minneskraping langt mer verdifullt.

Risikoen er spesielt alvorlig i delte miljøer, slik som terminalservere, eksterne skrivebord, virtuell skrivebordsinfrastruktur eller systemer der flere brukere er logget på samtidig. En kompromittert administratorkonto kan hente ut lagret påloggingsinformasjon fra andre påloggede brukere, inkludert frakoblede økter der Edge fortsatt kjørte.

Hva du bør gjøre hvis du har lagret passord i Microsoft Edge

Dette betyr ikke at alle Microsoft Edge-brukere har blitt hacket, men enkeltpersoner og organisasjoner bør vurdere om Edge er det rette stedet å lagre påloggingsinformasjon. Her er hva du kan gjøre for å være trygg:

  • Slutt å lagre nye passord i Microsofts nettleser og deaktiver Edges passordapp.
  • Flytt din lagrede påloggingsinformasjon til en sikker passordapp. Du kan enkelt importere Edge-passord til Proton Pass.
  • Slett passord lagret i Edge etter migrering.
  • Endre passord med høy risiko og gjør dem unike, begynn med e-post, finansielle kontoer, administratorverktøy, innbokser for tilbakestilling av passord og jobbkontoer. Vår passordapp har et integrert verktøy for dette formålet, men du kan også bruke vår passordgenerator.
  • Aktiver tofaktorautentisering (2FA) eller passnøkler der det er mulig, noe som bidrar til å redusere skaden hvis et passord blir eksponert. Proton Pass støtter passnøkler og 2FA for alle dine lagrede kontoer. Du kan også bruke vår autentiseringsapp for å administrere tilgang til din Proton-konto på en sikker måte.
  • For IT-team: Gå gjennom retningslinjer for passord i Edge og deaktiver lagring av passord i nettleseren for å redusere risikoen for organisasjonen. En sentralt kontrollert passordapp for bedrifter er overlegen sammenlignet med at ansatte lagrer passord i individuelle nettlesere.

Dine passord fortjener bedre enn Microsoft Edge

Avsløringen om Microsoft Edge er en påminnelse om at din mest sensitive påloggingsinformasjon ikke bør lagres i en passordapp eid av et selskap som behandler denne typen eksponering som forventet oppførsel, selv om det skaper åpenbare sikkerhetsproblemer for enkeltpersoner og organisasjoner.

Med Proton Pass er dine passord, aliaser, passnøkler og 2FA-koder beskyttet av ende-til-ende-kryptering, og du beholder kontrollen over hvor og hvordan du bruker dem.

Opprett en gratis Proton Pass-konto