如果您將密碼儲存在 Microsoft Edge 中,有一個您應該知曉的安全風險。根據一項新披露的資訊,每當您開啟 Edge 時,瀏覽器會立即將所有已儲存的 密碼 以可讀取的形式載入記憶體中,而不僅僅是您正在登入網站的密碼。這意味著如果惡意軟體、遭入侵的管理員帳號或其他攻擊者取得您的裝置或使用者工作階段存取權,儲存在 Edge 中的每個帳號憑證都可能外洩。

這項發現是由資安研究員 Tom Jøran Sønstebyseter Rønning(新視窗) 披露的,他表示 Microsoft 的回應是這種行為是「設計使然」。

Microsoft 官方文件指出 Edge 會使用 AES (進階加密標準) 加密硬碟上儲存的密碼,並承認如果使用者工作階段或裝置遭到入侵,密碼可能會外洩。新的披露資訊並未反駁這一點,但提出了不同的擔憂:Edge 在瀏覽器啟動後立即將 所有 已儲存密碼載入可讀取的記憶體中,這使得攻擊者在獲得足夠存取權限後,進行記憶體抓取 (memory scraping) 的價值大幅提升。

這發生在 Microsoft 縮減 Edge 周邊密碼管理的一年後,當時該公司逐步停止在 Microsoft Authenticator 中儲存密碼與自動填入,轉而推動想要繼續使用 Microsoft 密碼功能的使用者使用其自有的瀏覽器。

Microsoft Edge 如何處理已儲存密碼

密碼在儲存時理應受到 加密 保護:加密會將可讀取的密碼 (純文字) 轉換為不可讀取的資料 (密文)。為了要將該密碼用於自動填入,瀏覽器最終必須將其解密回可讀形式。關鍵問題在於:有多少密碼資料會同時變為可讀取狀態?

資安研究員 Tom Jøran Sønstebyseter Rønning 表示,Microsoft Edge 在啟動時會立即將所有已儲存密碼以純文字形式載入瀏覽器記憶體,而不是僅在需要時才解密特定密碼。這包括儲存在 Edge 密碼管理程式 中的所有密碼,甚至包括您在目前瀏覽工作階段中並未造訪或自動填入的網站密碼。

終端機顯示 Microsoft Edge 如何讓儲存的密碼以純文字形式暴露在外
來源:X 上的 @L1v1ng0ffTh3L4N

這使得 Edge 的重新驗證提示顯得具有誤導性:介面要求您在顯示密碼前證明身分,儘管瀏覽器程序已經擁有所有以可讀形式呈現的已儲存密碼。

研究人員針對多款基於 Chromium 的瀏覽器測試了此行為,包括 Google ChromeBrave、Vivaldi、Opera 以及 Microsoft Edge。結果只有 Edge 表現出這種行為。

只要保持 Microsoft Edge 開啟就足夠了

資安研究員 Rob VandenBrink 在為 SANS Internet Storm Center(新視窗) 撰文時,透過保持 Microsoft Edge 開啟並分析執行中瀏覽器工作階段的記憶體傾印 (memory dump) 重現了此問題。他展示了已登入的 Windows 使用者如何在不需要額外權限的情況下傾印其儲存的 Edge 憑證,這也意味著以該使用者身份執行的惡意軟體同樣可以存取這些憑證。

兩個並排面板顯示如何使用 Windows 工作管理員輕鬆建立 Microsoft Edge 的記憶體傾印檔案,以及如何輕鬆查看所擷取 DMP 檔案中所有已儲存的密碼
來源:SANS Internet Storm Center 上的 Rob VandenBrink

一個遭到入侵的工作階段就可能暴露您的所有密碼

如果攻擊者獲得了裝置或使用者工作階段的足夠存取權限,他們可能就能檢查瀏覽器的記憶體。如果僅在需要時才解密一個密碼,攻擊者的機會窗口較小,可擷取的資料也較少。但如果每個已儲存的密碼都已經在記憶體中且不受加密保護,記憶體抓取的價值就會大幅增加。

這種風險在共享環境中尤為嚴重,例如終端伺服器、遠端桌面、虛擬桌面基礎架構或多個使用者同時登入的系統。遭到入侵的管理員帳號可以從其他已登入的使用者中提取已儲存的憑證,包括 Edge 仍在執行但已斷開連線的工作階段。

如果您在 Microsoft Edge 中儲存了密碼該怎麼辦

這並不意味著每個 Microsoft Edge 使用者都已被駭,但個人和組織應重新考慮 Edge 是否是儲存憑證的正確場所。以下是您可以採取的安全措施:

  • 停止在 Microsoft 的瀏覽器中儲存新密碼,並 關閉 Edge 密碼管理程式。
  • 將您儲存的憑證移動到安全的密碼管理程式。您可以輕鬆地將 Edge 密碼匯入 Proton Pass
  • 在遷移後刪除儲存在 Edge 中的密碼。
  • 變更高風險密碼並確保其獨特性,從電子郵件、金融帳號、管理員工具、密碼重設收件匣以及工作帳號開始。我們的密碼管理程式內建了相關工具,但您也可以使用我們的密碼產生器
  • 儘可能啟用雙重身分驗證 (2FA)通行密鑰,這有助於在密碼外洩時減少損害。Proton Pass 支援您所有已儲存帳號的通行密鑰2FA。您也可以使用我們的驗證 app 來安全地管理對 Proton 帳號的存取。
  • IT 團隊適用:審查 Edge 密碼政策並停用瀏覽器密碼儲存功能,以降低組織風險。集中控管的企業密碼管理程式優於讓員工將密碼儲存在各個瀏覽器中。

您的密碼值得比 Microsoft Edge 更好的保護

Microsoft Edge 的揭露事件提醒了您,不應將最敏感的憑證儲存在由某家公司擁有的密碼管理程式中,因為該公司將此類外洩視為預期行為,即便這顯然會引發個人和組織的安全疑慮。

透過 Proton Pass,您的密碼、別名、通行密鑰和 2FA 代碼都受到端對端加密保護,且您可以掌控使用地點及方式。

建立免費的 Proton Pass 帳號