Se salvi le tue password in Microsoft Edge, ecco qualcosa che dovresti sapere. Ogni volta che apri il browser, decodifica tutte le password salvate e le carica in memoria in chiaro, dove rimangono per l’intera sessione. Ciò significa che le tue password rimarranno non protette nella memoria del tuo dispositivo anche se non visiti mai nessuno dei siti a cui appartengono.
Il ricercatore di sicurezza Tom Rønning ha scoperto questo comportamento e lo ha segnalato a Microsoft. Tuttavia, la società ha risposto affermando che il comportamento è intenzionale.
Edge è l’unico browser Chromium che salva la tua password in questo modo
Microsoft Edge è basato su Chromium, la stessa base open supply su cui si basa Google Chrome. Ma Chrome gestisce le password in modo molto diverso. Decrittografa una password solo nel momento in cui è effettivamente necessaria, advert esempio durante il riempimento automatico.
Chrome utilizza anche una funzionalità chiamata crittografia associata all’applicazione, che lega le chiavi di decrittazione a un processo Chrome autenticato, rendendo molto più difficile per gli aggressori estrarre le password dalla memoria. Ma Microsoft Edge non fa nessuna delle due cose.
Rønning ha testato diversi browser basati su Chromium e ha scoperto che Edge period l’unico che caricava tutte le password salvate in memoria all’avvio e le lasciava lì in chiaro.
Cosa cube Microsoft e dovresti preoccuparti?
In una dichiarazione a CyberNewsMicrosoft ha affermato che il comportamento esiste per aiutare gli utenti advert accedere rapidamente e che sfruttarlo richiederebbe che un utente malintenzionato abbia già accesso amministrativo al dispositivo.
Gli esperti di sicurezza concordano ampiamente sul fatto che l’accesso a livello di amministratore è effettivamente una compromissione dell’intero sistema, indipendentemente dal browser utilizzato. Anche così, i professionisti della sicurezza informatica avvertono che i moderni malware infostealer prendono di mira specificamente la finestra tra l’archiviazione crittografata e l’esposizione in fase di esecuzione, rendendo le password in chiaro in memoria un rischio reale.
I consigli pratici degli esperti di sicurezza sono coerenti indipendentemente dal browser utilizzato. Smetti di memorizzare completamente le password nel tuo browser e passa invece a un gestore di password dedicato.
