Om du sparar lösenord i Microsoft Edge finns det en säkerhetsrisk som du bör känna till. Enligt ett nytt avslöjande laddar webbläsaren omedelbart in alla sparade lösenord i minnet i läsbar form så fort du öppnar Edge – inte bara lösenordet för webbplatsen du loggar in på. Det innebär att inloggningsuppgifter för varje konto som sparats i Edge kan avslöjas om skadlig kod, ett komprometterat admin-konto eller en annan angripare får åtkomst till din enhet eller användarsession.
Upptäckten offentliggjordes av säkerhetsforskaren Tom Jøran Sønstebyseter Rønning(nytt fönster), som säger att Microsofts svar var att beteendet är avsett (”by design”).
Microsofts egen dokumentation säger att Edge krypterar sparade lösenord på disken med AES (Advanced Encryption Standard) och erkänner att lösenord kan avslöjas om användarsessionen eller enheten komprometteras. Det nya avslöjandet bestrider inte detta, men väcker en annan oro: Edge laddar in alla sparade lösenord i läsbart minne så snart webbläsaren startar, vilket gör minnesavläsning (memory scraping) betydligt mer värdefull om en angripare får tillräcklig åtkomst.
Detta sker ett år efter att Microsoft begränsade lösenordshanteringen kring Edge genom att fasa ut lösenordslagring och autofyll i Microsoft Authenticator, vilket drev användare som ville fortsätta använda Microsofts lösenordsfunktioner mot företagets egen webbläsare.
Hur Microsoft Edge hanterar sparade lösenord
Lösenord ska skyddas av kryptering när de lagras: Kryptering förvandlar ett läsbart lösenord (oformaterad text) till oläsliga data (skiffertext). För att använda det lösenordet för autofyll måste en webbläsare så småningom avkryptera det tillbaka till läsbar form. Den viktiga frågan är: Hur mycket lösenordsdata blir läsbara samtidigt?
Säkerhetsforskaren Tom Jøran Sønstebyseter Rønning säger att Microsoft Edge laddar in alla sparade lösenord i webbläsarens minne som oformaterad text så snart den startar, istället för att bara avkryptera ett specifikt lösenord när det behövs. Detta inkluderar alla lösenord som sparats i lösenordshanteraren i Edge, även de för webbplatser du inte besöker eller använder autofyll för under den aktuella sessionen.
Det gör att Edges uppmaning om återautentisering känns vilseledande: Gränssnittet ber dig bevisa din identitet innan ett lösenord visas, trots att webbläsarprocessen redan har varje sparat lösenord tillgängligt i läsbar form.
Forskaren testade detta beteende i flera Chromium-baserade webbläsare, inklusive Google Chrome, Brave, Vivaldi, Opera och Microsoft Edge. Endast Edge uppvisade detta beteende.
Det räcker med att bara låta Microsoft Edge vara öppen
Säkerhetsforskaren Rob VandenBrink, som skriver för SANS Internet Storm Center(nytt fönster), återskapade problemet genom att låta Microsoft Edge vara öppen och analysera en minnesdump av den pågående webbläsarsessionen. Han visade hur en inloggad Windows-användare kan dumpa sina lagrade inloggningsuppgifter från Edge utan ytterligare rättigheter, vilket också innebär att skadlig kod som körs som den användaren potentiellt kan få åtkomst till dessa inloggningsuppgifter också.
En enda avslöjad session kan exponera alla dina lösenord
Om en angripare får tillräcklig åtkomst till enheten eller användarsessionen kan de eventuellt inspektera webbläsarens minne. Om endast ett lösenord avkrypteras vid behov har angriparen ett mindre tidsfönster och mindre data att fånga in. Men om varje sparat lösenord redan ligger i minnet oskyddat av kryptering blir minnesavläsning betydligt mer värdefull.
Risken är särskilt allvarlig i delade miljöer, såsom terminalservrar, fjärrskrivbord, virtuell skrivbordsinfrastruktur eller system där flera användare är inloggade samtidigt. Ett komprometterat admin-konto skulle kunna extrahera sparade inloggningsuppgifter från andra inloggade användare, inklusive frånkopplade sessioner där Edge fortfarande kördes.
Vad du ska göra om du har sparat lösenord i Microsoft Edge
Detta betyder inte att varje Microsoft Edge-användare har blivit hackad, men individer och organisationer bör överväga om Edge är rätt plats att lagra inloggningsuppgifter på. Här är vad du kan göra för att förbli säker:
- Sluta spara nya lösenord i Microsofts webbläsare och stäng av Edges lösenordshanterare.
- Flytta dina sparade inloggningsuppgifter till en säker lösenordshanterare. Du kan enkelt importera lösenord från Edge till Proton Pass.
- Ta bort lösenord som sparats i Edge efter migreringen.
- Byt ut lösenord med hög risk och gör dem unika, och börja med e-post, bankkonton, adminverktyg, inkorgar för återställning av lösenord och arbetskonton. Vår lösenordshanterare har ett inbyggt verktyg för detta ändamål, men du kan också använda vår lösenordsgenerator.
- Aktivera tvåfaktorsautentisering (2FA) eller passnycklar där det är möjligt, vilket hjälper till att minska skadan om ett lösenord exponeras. Proton Pass har support för passnycklar och 2FA för alla dina sparade konton. Du kan också använda vår autentiseringsapp för att på ett säkert sätt hantera åtkomst till ditt Proton-konto.
- För IT-team: Granska lösenordspolicyer för Edge och inaktivera webbläsarens lösenordslagring för att minska organisationens risker. En centralt styrd lösenordshanterare för företag är bättre än att anställda sparar lösenord i enskilda webbläsare.
Dina lösenord förtjänar bättre än Microsoft Edge
Avslöjandet om Microsoft Edge är en påminnelse om att dina mest känsliga inloggningsuppgifter inte bör lagras i en lösenordshanterare som ägs av ett företag som behandlar den här typen av exponering som ett förväntat beteende, även om det innebär uppenbara säkerhetsrisker för privatpersoner och organisationer.
Med Proton Pass skyddas dina lösenord, alias, passnycklar och 2FA-koder av end-to-end-kryptering, och du behåller kontrollen över var och hur du använder dem.
