Microsoft gab bekannt, dass es die Passwortverwaltung Edgeals Teil einer „mehrschichtigen Sicherheitsstrategie“ ändern werde.
Ursprünglich Edge beim Start den gesamten Speicher für gespeicherte Passwörter und hielt alle Anmeldedaten während der gesamten Browsersitzung im Prozessspeicher im Klartext vor, unabhängig davon, ob ein bestimmtes Passwort jemals verwendet wurde oder nicht.
Vor kurzem erklärte Microsoft noch, dieses Verhalten bei Passwörtern im Klartext sei beabsichtigt. Nun hat Microsoft einen Kurswechsel vollzogen, und das neue Verhalten bei der Passwortverarbeitung ist bereits in Canary (der experimentellen Vorschauversion von Microsoft Edge) vorhanden, wobei die Einführung über alle Kanäle hinweg vorrangig erfolgt.
Der Forscher, der ursprünglich auf das Problem hingewiesen hatte, sagte:
Edge der einzige Chromium-basierte Browser, den ich getestet habe, der sich so verhält. Im Gegensatz dazu Chrome ein Design, das es Angreifern erheblich erschwert, gespeicherte Passwörter durch einfaches Auslesen des Prozessspeichers zu extrahieren.“
Gareth Evans, Edge Microsoft Edge , erklärte, Microsoft verfolge nun einen umfassenderen Ansatz und habe sich dazu verpflichtet, Edge anzupassen, dass gespeicherte Passwörter beim Start nicht mehr als Klartext in den Arbeitsspeicher geladen werden. Dadurch wird das Sicherheitsrisiko im Rahmen einer mehrschichtigen Sicherheitsstrategie verringert. Das bedeutet, dass es selbst dann, wenn ein Angreifer Administratorrechte auf einem Gerät besitzt, schwieriger wird, alle Passwörter abzugreifen.
Laut Microsoft:
„Künftig Edge Microsoft Edge beim Start des Browsers nicht mehr alle gespeicherten Passwörter in den Arbeitsspeicher. Stattdessen werden Passwörter nur dann entschlüsselt, wenn sie für die automatische Ausfüllfunktion oder für Vorgänge der Passwortverwaltung benötigt werden.“
Die Änderung ist im Edge bereits verfügbar und wird im nächsten Update für alle unterstützten Edge enthalten sein (Build 148 und neuer in den Kanälen Stable, Beta, Dev, Canary und Extended Stable).
Der Grund für diese Änderung liegt wahrscheinlich eher in Reputations- und Strategieüberlegungen als in der Anerkennung einer ausnutzbaren Sicherheitslücke. Microsoft scheint die Realität mit seinem Slogan „Secure by Design“ in Einklang bringen und eine sehr auffällige, leicht zu demonstrierende Schwachstelle beseitigen zu wollen, auch wenn das Unternehmen diese nach wie vor nicht als klassischen Speicherleck-Fehler betrachtet.
Passwörter in Ihrem Browser
Bitte beachten Sie, dass diese Änderung lediglich bedeutet, dass Edge beim Speichern von Passwörtern in etwa genauso sicher sein Edge wie jeder andere Chromium-basierte Browser.
Der Passwort-Manager Ihres Browsers bietet Ihnen zwar Komfort, geht jedoch mit gewissen Sicherheitsrisiken einher. Natürlich sind auch Passwort-Manager nicht absolut sicher, daher ist es wichtig, dass Sie selbst entscheiden, wo Sie Ihre Passwörter speichern.
Wenn Sie sicher sind, dass eine Website sicher ist und niemand, der über Ihr Konto darauf zugreifen kann, sensible Daten einsehen könnte, können Sie das Passwort gerne in Ihrem Browser speichern – deaktivieren Sie jedoch die automatische Ausfüllfunktion, damit Sie die Kontrolle behalten.
Verwenden Sienach Möglichkeit die Multi-Faktor-Authentifizierung (MFA). Das senkt das Risiko erheblich, falls jemand Ihr Passwort in die Hände bekommt. Vermeiden Sie es außerdem, den Passwort-Manager Ihres Browsers zum Speichern Ihrer Kreditkartendaten oder anderer sensibler personenbezogener Daten, wie beispielsweise medizinischer Informationen, zu nutzen.
Seien wir ehrlich: Ein Inkognito-Fenster hat seine Grenzen.
Datenlecks, Handel im Dark Web, Kreditbetrug. Malwarebytes Identity Theft überwacht all das, benachrichtigt Sie umgehend und beinhaltet eine Versicherung gegen Identitätsdiebstahl.
