Microsoft Edge-passord vil snart få sterkere beskyttelse etter at Microsoft bekreftet en stor endring i hvordan nettleseren håndterer lagrede innloggingsdetaljer. Selskapet planlegger å stoppe Edge fra å laste lagrede passord i klartekst inn i prosessminnet når nettleseren starter.
Beslutningen kommer etter kritikk fra sikkerhetsforskere, som advarte om at den tidligere oppførselen skapte unødvendig eksponering. Microsoft beskrev først problemet som “by design”, men har nå endret kurs og vil innføre et ekstra sikkerhetslag i støttede Edge-versjoner.
Forsker Oppdaget At Passord Ble Lastet Ved Oppstart
Sikkerhetsforsker Tom Jøran Sønstebyseter Rønning avslørte problemet 4. mai. Han sa at Edge dekrypterte alle lagrede legitimasjoner når nettleseren startet og beholdt dem i minnet, selv når brukerne ikke besøkte de tilknyttede nettstedene.
Denne oppførselen gjorde Microsoft Edge annerledes enn enkelte andre Chromium-baserte nettlesere. Ifølge forskeren dekrypterer Chrome legitimasjoner bare ved behov, noe som gjør omfattende minnedumping vanskeligere for angripere.
Rønning publiserte også et proof-of-concept-verktøy som viste hvordan angripere kunne dumpe lagrede legitimasjoner fra Edge-prosesser. Med administratorrettigheter kunne en angriper rette seg mot andre brukeres Edge-prosesser. Uten administratorrettigheter kunne verktøyet få tilgang til Edge-prosesser som kjørte under samme brukerkonto.
Derfor Skapte Problemet Bekymring
Risikoen er viktig fordi mange moderne cyberangrep fokuserer på tyveri av legitimasjon. Infostealer-skadevare retter seg ofte mot nettlesere, sesjonsdata og lagrede innloggingsdetaljer etter å ha fått tilgang til en enhet.
Microsoft argumenterte for at scenariet allerede krevde et kompromittert system. Sikkerhetsforskere var imidlertid uenige i den vurderingen. De mente at nettlesere fortsatt bør redusere eksponeringen av sensitiv data der det er mulig, spesielt i bedriftsmiljøer.
Delte systemer, eksterne skrivebord og arbeidsstasjoner i bedrifter kan møte høyere risiko. Dersom angripere får sterk lokal tilgang, kan passord i klartekst i minnet øke skadeomfanget fra én kompromittert maskin.
Microsoft Endrer Standpunkt
Microsoft sa først at oppførselen var forventet og ikke falt utenfor selskapets trusselmodell. Nå har selskapet bekreftet at Edge vil slutte å laste lagrede passord inn i minnet ved oppstart.
Gareth Evans, sikkerhetsleder for Microsoft Edge, sa at endringen reflekterer en bredere sikkerhetstilnærming under Microsofts Secure Future Initiative. I stedet for kun å fokusere på strenge definisjoner av sårbarheter vil Microsoft også forsøke å redusere unødvendig eksponering.
Løsningen er allerede tilgjengelig i Edge Canary. Microsoft planlegger å rulle ut endringen til alle støttede Edge-kanaler, inkludert Stable, Beta, Dev, Canary og Extended Stable for bedrifter, fra build 148 og nyere.
Hva Brukere Bør Gjøre Nå
Brukere bør holde Microsoft Edge oppdatert etter hvert som løsningen rulles ut til flere kanaler. Bedrifter bør også gjennomgå retningslinjer for nettleserpassord, spesielt i delte eller høyrisikomiljøer.
En dedikert passordbehandler kan tilby sterkere beskyttelse for brukere som håndterer mange sensitive kontoer. Multifaktorautentisering er fortsatt viktig, siden stjålne passord alene ikke bør gi angripere full tilgang.
Konklusjon
Oppdateringen for Microsoft Edge-passord viser hvordan sikkerhetspress kan føre til praktiske produktendringer. Microsoft klassifiserer kanskje ikke den opprinnelige oppførselen som en tradisjonell sårbarhet, men redusert eksponering av passord i klartekst forbedrer fortsatt sikkerheten.
Endringen vil ikke stoppe alle angrep som stjeler legitimasjon. Den bør likevel gjøre Edge til et tryggere alternativ for brukere som er avhengige av nettleserens innebygde passordbehandler.
0 responses to “Microsoft Edge-passord blir tryggere etter ny oppdatering”