Microsoft Edge-lösenord kommer snart att få starkare skydd efter att Microsoft bekräftat en stor förändring i hur webbläsaren hanterar sparade inloggningsuppgifter. Företaget planerar att stoppa Edge från att ladda sparade lösenord i klartext till processminnet när webbläsaren startar.
Beslutet kommer efter kritik från säkerhetsforskare, som varnade för att det tidigare beteendet skapade onödig exponering. Microsoft beskrev först problemet som “by design”, men har nu ändrat kurs och kommer att införa ett extra säkerhetslager i stödda Edge-versioner.
Forskare Upptäckte Att Lösenord Laddades Vid Uppstart
Säkerhetsforskaren Tom Jøran Sønstebyseter Rønning avslöjade problemet den 4 maj. Han uppgav att Edge dekrypterade alla sparade inloggningsuppgifter när webbläsaren startade och behöll dem i minnet, även när användare inte besökte de relaterade webbplatserna.
Det beteendet gjorde Microsoft Edge annorlunda jämfört med vissa andra Chromium-baserade webbläsare. Enligt forskaren dekrypterar Chrome endast inloggningsuppgifter vid behov, vilket gör storskalig minnesdumpning svårare för angripare.
Rønning släppte även ett proof-of-concept-verktyg som visade hur angripare kunde dumpa sparade inloggningsuppgifter från Edge-processer. Med administratörsrättigheter kunde en angripare rikta in sig på andra användares Edge-processer. Utan administratörsbehörighet kunde verktyget komma åt Edge-processer som kördes under samma användarkonto.
Därför Väcker Problemet Oro
Risken är viktig eftersom många moderna cyberattacker fokuserar på stöld av inloggningsuppgifter. Infostealer-skadlig kod riktar ofta in sig på webbläsare, sessionsdata och sparade inloggningsuppgifter efter att ha fått åtkomst till en enhet.
Microsoft hävdade att scenariot redan krävde ett komprometterat system. Säkerhetsforskare höll dock inte med om den bedömningen. De menade att webbläsare fortfarande bör minska exponeringen av känslig data där det är möjligt, särskilt i företagsmiljöer.
Delade system, fjärrskrivbord och arbetsstationer i företag kan innebära högre risker. Om angripare får stark lokal åtkomst kan lösenord i klartext i minnet öka skadan från en enda komprometterad enhet.
Microsoft Ändrar Sin Tidigare Ståndpunkt
Microsoft sade först att beteendet var förväntat och inte låg utanför företagets hotmodell. Företaget har nu bekräftat att Edge kommer att sluta ladda sparade lösenord i minnet vid uppstart.
Gareth Evans, säkerhetschef för Microsoft Edge, sade att förändringen speglar ett bredare säkerhetsarbete inom Microsofts Secure Future Initiative. I stället för att endast fokusera på strikta definitioner av sårbarheter kommer Microsoft även att försöka minska onödig exponering.
Fixen finns redan tillgänglig i Edge Canary. Microsoft planerar att rulla ut ändringen till alla stödda Edge-kanaler, inklusive Stable, Beta, Dev, Canary och Extended Stable för företag, med start från build 148 och senare.
Vad Användare Bör Göra Nu
Användare bör hålla Microsoft Edge uppdaterat när fixen når fler releasekanaler. Företag bör även granska sina policyer för webbläsarlösenord, särskilt i delade eller högriskmiljöer.
En dedikerad lösenordshanterare kan erbjuda starkare skydd för användare som hanterar många känsliga konton. Multifaktorautentisering är också fortsatt viktig, eftersom stulna lösenord ensamma inte bör ge angripare full åtkomst.
Slutsats
Uppdateringen för Microsoft Edge-lösenord visar hur säkerhetspress kan leda till praktiska produktförändringar. Microsoft kanske inte klassificerar det ursprungliga beteendet som en traditionell sårbarhet, men minskad exponering av lösenord i klartext förbättrar fortfarande skyddet.
Förändringen kommer inte att stoppa alla attacker som stjäl inloggningsuppgifter. Däremot bör den göra Edge till ett säkrare alternativ för användare som förlitar sig på webbläsarens inbyggda lösenordshanterare.
0 svar till ”Microsoft Edge-lösenord blir säkrare efter ny uppdatering”