Dacă salvați parole în Microsoft Edge, există un risc de securitate despre care ar trebui să știți. Conform unei noi dezvăluiri, ori de câte ori deschideți Edge, browserul încarcă imediat toate parolele salvate în memorie într-o formă lizibilă — nu doar parola pentru site-ul web pe care îl accesați. Aceasta înseamnă că acreditările pentru fiecare cont salvat în Edge ar putea fi expuse dacă malware-ul, un cont de administrator compromis sau un alt atacator obține acces la dispozitivul sau sesiunea dvs. de utilizator.

Descoperirea a fost dezvăluită de cercetătorul în securitate Tom Jøran Sønstebyseter Rønning(fereastră nouă), care afirmă că răspunsul Microsoft a fost că acest comportament este „conform designului”.

Propria documentație a Microsoft afirmă că Edge criptează parolele salvate pe disc utilizând AES (Advanced Encryption Standard) și recunoaște că parolele pot fi expuse dacă sesiunea de utilizator sau dispozitivul este compromis. Noua dezvăluire nu contestă acest lucru, dar ridică o preocupare diferită: Edge încarcă toate parolele salvate în memoria lizibilă imediat ce browserul este lansat, făcând extragerea datelor din memorie mult mai valoroasă dacă un atacator obține acces suficient.

Acest lucru vine la un an după ce Microsoft a limitat gestionarea parolelor în jurul Edge prin eliminarea treptată a stocării parolelor și a completării automate în Microsoft Authenticator, direcționând utilizatorii care doreau să continue să folosească funcțiile de parole ale Microsoft către propriul său browser.

Cum gestionează Microsoft Edge parolele salvate

Parolele ar trebui să fie protejate prin criptare atunci când sunt stocate: Criptarea transformă o parolă lizibilă (text neformatat) în date ilizibile (text cifrat). Pentru a utiliza acea parolă pentru completarea automată, un browser trebuie în cele din urmă să o decripteze înapoi în formă lizibilă. Întrebarea importantă este: Câte date de tip parolă devin lizibile simultan?

Cercetătorul în securitate Tom Jøran Sønstebyseter Rønning spune că Microsoft Edge încarcă toate parolele salvate în memoria browserului sub formă de text neformatat imediat ce acesta este lansat, în loc să decripteze doar o parolă specifică atunci când este necesar. Aceasta include toate parolele salvate în managerul de parole Edge, chiar și pe cele pentru site-uri web pe care nu le vizitați sau nu le completați automat în timpul sesiunii de navigare curente.

Un terminal care arată cum Microsoft Edge păstrează parolele salvate expuse sub formă de text neformatat
Sursa: @L1v1ng0ffTh3L4N pe X

Acest lucru face ca solicitarea de re-autentificare a Edge să pară înșelătoare: interfața vă solicită să vă dovediți identitatea înainte de a dezvălui o parolă, deși procesul browserului are deja disponibilă fiecare parolă salvată în formă lizibilă.

Cercetătorul a testat acest comportament pe mai multe browsere bazate pe Chromium, inclusiv Google Chrome, Brave, Vivaldi, Opera și Microsoft Edge. Doar Edge a prezentat acest comportament.

Este suficient doar să lăsați Microsoft Edge deschis

Cercetătorul în securitate Rob VandenBrink, scriind pentru SANS Internet Storm Center(fereastră nouă), a reprodus problema lăsând Microsoft Edge deschis și analizând un dump de memorie al sesiunii active a browserului. El a demonstrat cum un utilizator Windows conectat poate descărca propriile acreditări Edge stocate fără drepturi suplimentare, ceea ce înseamnă, de asemenea, că malware-ul care rulează ca acel utilizator ar putea accesa, de asemenea, acele acreditări.

Două panouri alăturate care arată cum se poate crea cu ușurință un fișier dump de memorie pentru Microsoft Edge utilizând Managerul de activități Windows și cum se pot vizualiza cu ușurință toate parolele salvate în fișierul DMP capturat
Sursa: Rob VandenBrink pe SANS Internet Storm Center

O singură sesiune compromisă vă poate expune toate parolele

Dacă un atacator obține acces suficient la dispozitiv sau la sesiunea de utilizator, acesta ar putea inspecta memoria browserului. Dacă o singură parolă este decriptată doar atunci când este necesar, atacatorul are o fereastră de timp mai mică și mai puține date de capturat. Dar dacă fiecare parolă salvată se află deja în memorie neprotejată prin criptare, extragerea datelor din memorie devine mult mai valoroasă.

Riscul este deosebit de grav în mediile partajate, cum ar fi serverele terminale, desktopurile la distanță, infrastructura desktop virtuală sau sistemele în care mai mulți utilizatori sunt conectați în același timp. Un cont de administrator compromis ar putea extrage acreditările salvate de la alți utilizatori conectați, inclusiv din sesiunile deconectate în care Edge rula încă.

Ce trebuie să faceți dacă ați salvat parole în Microsoft Edge

Acest lucru nu înseamnă că fiecare utilizator Microsoft Edge a fost atacat, dar persoanele și organizațiile ar trebui să reconsidere dacă Edge este locul potrivit pentru a stoca acreditările. Iată ce puteți face pentru a rămâne în siguranță:

  • Nu mai salvați parole noi în browserul Microsoft și dezactivați managerul de parole Edge.
  • Mutați acreditările salvate într-un manager de parole securizat. Puteți importa cu ușurință parolele Edge în Proton Pass.
  • Ștergeți parolele salvate în Edge după migrare.
  • Schimbați parolele cu risc ridicat și faceți-le unice, începând cu e-mailul, conturile financiare, instrumentele de administrator, inboxurile pentru resetarea parolelor și conturile de serviciu. Managerul nostru de parole are un instrument integrat în acest scop, dar puteți folosi și generatorul nostru de parole.
  • Activați autentificarea cu doi factori (A2F) sau cheile de acces acolo unde este posibil, ceea ce ajută la reducerea daunelor în cazul în care o parolă este expusă. Proton Pass oferă asistență pentru chei de acces și A2F pentru toate conturile salvate de dvs. De asemenea, puteți utiliza aplicația de autentificare pentru a gestiona în siguranță accesul la contul dvs. Proton.
  • Pentru echipele IT: Examinați politicile de parole pentru Edge și dezactivați stocarea parolelor în browser pentru a reduce riscul organizațional. Un manager de parole pentru companii controlat central este superior stocării parolelor de către angajați în browsere individuale.

Parolele dvs. merită ceva mai bun decât Microsoft Edge

Dezvăluirea Microsoft Edge este un memento că cele mai sensibile acreditări ale dvs. nu ar trebui să fie stocate într-un manager de parole deținut de o companie care tratează acest tip de expunere ca pe un comportament așteptat, deși ridică probleme de securitate evidente pentru persoane și organizații.

Cu Proton Pass, parolele, aliasurile, cheile de acces și codurile A2F vă sunt protejate prin criptare de la un capăt la altul, iar dvs. păstrați controlul asupra locului și modului în care le utilizați.

Creați un cont Proton Pass gratuit