Als u wachtwoorden opslaat in Microsoft Edge, is er een beveiligingsrisico waarvan u op de hoogte moet zijn. Volgens een nieuwe onthulling laadt de browser telkens wanneer u Edge opent onmiddellijk alle opgeslagen wachtwoorden in leesbare vorm in het geheugen — niet alleen het wachtwoord voor de website waarop u inlogt. Dat betekent dat de inloggegevens voor elk account dat in Edge is opgeslagen, kunnen worden blootgesteld als malware, een gecompromitteerd beheerderaccount of een andere aanvaller toegang krijgt tot uw apparaat of gebruikerssessie.

De bevinding werd bekendgemaakt door beveiligingsonderzoeker Tom Jøran Sønstebyseter Rønning(nieuw venster), die zegt dat de reactie van Microsoft was dat het gedrag “by design” is.

De eigen documentatie van Microsoft stelt dat Edge opgeslagen wachtwoorden op de schijf versleutelt met AES (Advanced Encryption Standard) en erkent dat wachtwoorden kunnen worden blootgesteld als de gebruikerssessie of het apparaat in gevaar wordt gebracht. De nieuwe onthulling betwist dat niet, maar kaart een ander probleem aan: Edge laadt alle opgeslagen wachtwoorden in leesbaar geheugen zodra de browser opstart, waardoor het scrapen van het geheugen veel waardevoller wordt als een aanvaller voldoende toegang krijgt.

Dit gebeurt een jaar nadat Microsoft het wachtwoordbeheer rondom Edge beperkte door het opslaan en automatisch aanvullen van wachtwoorden in Microsoft Authenticator uit te faseren, waardoor gebruikers die de wachtwoordfuncties van Microsoft wilden blijven gebruiken, naar de eigen browser werden geduwd.

Hoe Microsoft Edge omgaat met opgeslagen wachtwoorden

Wachtwoorden horen beschermd te worden door versleuteling wanneer ze worden opgeslagen: versleuteling verandert een leesbaar wachtwoord (tekst zonder opmaak) in onleesbare gegevens (cijfertekst). Om dat wachtwoord te gebruiken voor automatisch aanvullen, moet een browser het uiteindelijk weer ontsleutelen naar een leesbare vorm. De belangrijke vraag is: hoeveel wachtwoordgegevens worden er tegelijkertijd leesbaar?

Beveiligingsonderzoeker Tom Jøran Sønstebyseter Rønning zegt dat Microsoft Edge alle opgeslagen wachtwoorden direct bij het opstarten in tekst zonder opmaak in het geheugen van de browser laadt, in plaats van alleen een specifiek wachtwoord te ontsleutelen wanneer dat nodig is. Dit omvat alle wachtwoorden die zijn opgeslagen in de Edge-wachtwoordbeheerder, zelfs die voor websites die u niet bezoekt of automatisch aanvult tijdens de huidige browsersessie.

Een terminal die laat zien hoe Microsoft Edge opgeslagen wachtwoorden onbeveiligd in tekst zonder opmaak bewaart
Bron: @L1v1ng0ffTh3L4N op X

Dat zorgt ervoor dat de re-authenticatieprompt van Edge misleidend aanvoelt: de interface vraagt u om uw identiteit te bewijzen voordat een wachtwoord wordt getoond, terwijl het browserproces al elk opgeslagen wachtwoord in leesbare vorm beschikbaar heeft.

De onderzoeker testte dit gedrag bij meerdere op Chromium gebaseerde browsers, waaronder Google Chrome, Brave, Vivaldi, Opera en Microsoft Edge. Alleen Edge vertoonde dit gedrag.

Het is al genoeg om Microsoft Edge alleen maar open te laten staan

Beveiligingsonderzoeker Rob VandenBrink, schrijvend voor SANS Internet Storm Center(nieuw venster), reproduceerde het probleem door Microsoft Edge open te laten staan en een geheugendump van de actieve browsersessie te analyseren. Hij toonde aan hoe een ingelogde Windows-gebruiker de opgeslagen Edge-inloggegevens kan dumpen zonder aanvullende rechten, wat ook betekent dat malware die onder die gebruiker draait, mogelijk ook toegang kan krijgen tot die inloggegevens.

Twee panelen naast elkaar die tonen hoe u eenvoudig een geheugendumpbestand voor Microsoft Edge kunt maken met Windows Taakbeheer en hoe u eenvoudig alle opgeslagen wachtwoorden in het vastgelegde DMP-bestand kunt bekijken
Bron: Rob VandenBrink op SANS Internet Storm Center

Eén gecompromitteerde sessie kan al uw wachtwoorden blootstellen

Als een aanvaller voldoende toegang krijgt tot het apparaat of de gebruikerssessie, kan hij mogelijk het geheugen van de browser inspecteren. Als er slechts één wachtwoord wordt ontsleuteld wanneer dat nodig is, heeft de aanvaller een kleiner tijdvenster en minder gegevens om buit te maken. Maar als elk opgeslagen wachtwoord al onbeschermd door versleuteling in het geheugen staat, wordt het scrapen van het geheugen veel waardevoller.

Het risico is vooral ernstig in gedeelde omgevingen, zoals terminalservers, externe bureaubladen, virtuele desktopinfrastructuur of systemen waarbij meerdere gebruikers tegelijkertijd zijn aangemeld. Een gecompromitteerd beheerderaccount zou opgeslagen inloggegevens van andere aangemelde gebruikers kunnen extraheren, inclusief losgekoppelde sessies waarin Edge nog steeds draaide.

Wat u moet doen als u wachtwoorden hebt opgeslagen in Microsoft Edge

Dit betekent niet dat elke Microsoft Edge-gebruiker is gehackt, maar individuen en organisaties zouden moeten heroverwegen of Edge de juiste plek is om inloggegevens op te slaan. Dit is wat u kunt doen om veilig te blijven:

  • Stop met het opslaan van nieuwe wachtwoorden in de browser van Microsoft en schakel de Edge wachtwoordbeheerder uit.
  • Verplaats uw opgeslagen inloggegevens naar een veilige wachtwoordbeheerder. U kunt eenvoudig Edge-wachtwoorden importeren in Proton Pass.
  • Verwijder in Edge opgeslagen wachtwoorden na de migratie.
  • Wijzig wachtwoorden met een hoog risico en maak ze uniek, te beginnen met e-mail, financiële accounts, beheerdershulpmiddelen, postvakken voor het resetten van wachtwoorden en zakelijke accounts. Onze wachtwoordbeheerder heeft hiervoor een geïntegreerd hulpmiddel, maar u kunt ook onze wachtwoordgenerator gebruiken.
  • Schakel waar mogelijk tweestapsverificatie (2FA) of passkeys in; dit helpt de schade te beperken als een wachtwoord wordt onthuld. Proton Pass ondersteunt passkeys en 2FA voor al uw opgeslagen accounts. U kunt ook onze authenticatie-app gebruiken om de toegang tot uw Proton-account veilig te beheren.
  • Voor IT-teams: Controleer het Edge-wachtwoordbeleid en schakel de wachtwoordopslag van de browser uit om organisatierisico’s te verminderen. Een centraal beheerde zakelijke wachtwoordbeheerder is superieur aan werknemers die wachtwoorden in individuele browsers opslaan.

Uw wachtwoorden verdienen beter dan Microsoft Edge

De onthulling over Microsoft Edge herinnert ons eraan dat uw meest gevoelige inloggegevens niet moeten worden opgeslagen in een wachtwoordbeheerder van een bedrijf dat dit soort blootstelling als verwacht gedrag beschouwt, ook al roept het duidelijke beveiligingsproblemen op voor individuen en organisaties.

Met Proton Pass worden uw wachtwoorden, aliassen, passkeys en 2FA-codes beschermd door end-to-end versleuteling, en houdt u de controle over waar en hoe u ze gebruikt.

Maak een gratis Proton Pass-account aan