Microsoft ha anunciado que modificará la gestión de contraseñas Edgecomo medida de «defensa en profundidad».
En un principio, Edge todo el almacén de contraseñas guardadas al iniciarse y mantenía todas las credenciales en la memoria del proceso en texto sin cifrar durante toda la sesión del navegador, independientemente de si una credencial concreta se había utilizado o no.
Hace poco, Microsoft afirmó que este comportamiento con las contraseñas en texto plano era intencionado. Ahora, Microsoft ha cambiado de rumbo, y el nuevo comportamiento en el manejo de contraseñas ya está presente en Canary (la versión experimental de Microsoft Edge), y su implementación se está priorizando en todos los canales.
El investigador que señaló inicialmente el problema dijo:
Edge el único navegador basado en Chromium que he probado que se comporta así. Por el contrario, Chrome un diseño que dificulta mucho más a los atacantes la extracción de contraseñas guardadas con solo leer la memoria del proceso».
Gareth Evans, responsable Edge Microsoft Edge , afirmó que Microsoft está adoptando ahora una perspectiva más amplia y se ha comprometido a modificar Edge que las contraseñas guardadas ya no se carguen en la memoria al iniciar el navegador en formato de texto sin cifrar. Como resultado, se reducirá la exposición, lo que supone una mejora en la defensa en profundidad. Esto significa que, incluso si un atacante tiene control administrativo sobre un dispositivo, le resultará más difícil recopilar todas las contraseñas.
Según Microsoft:
«A partir de ahora, Microsoft Edge ya no Edge todas las contraseñas guardadas en la memoria al iniciar el navegador. En su lugar, las contraseñas solo se descifrarán cuando sea necesario para el autocompletado o para operaciones de gestión de contraseñas».
El cambio ya está disponible en el canal Edge y se incluirá en la próxima actualización para todas Edge compatibles Edge (compilación 148 y posteriores en los canales Stable, Beta, Dev, Canary y Extended Stable).
Probablemente, el motivo de este cambio tenga más que ver con la reputación y la estrategia que con el reconocimiento de una vulnerabilidad explotable. Microsoft parece querer ajustar la realidad a su mensaje de «seguridad desde el diseño» y eliminar una debilidad muy visible y fácil de demostrar, aunque siga sin considerarla un clásico fallo de divulgación de memoria.
Contraseñas en tu navegador
Ten en cuenta que este cambio solo significa Edge ser una opción para guardar contraseñas tan segura como cualquier otro navegador basado en Chromium.
El gestor de contraseñas de tu navegador te ofrece comodidad, pero eso conlleva algunos riesgos de seguridad. Por supuesto, los gestores de contraseñas tampoco son infalibles, por lo que es importante que decidas por ti mismo dónde guardas tus contraseñas.
Si estás seguro de que un sitio web es seguro y de que nadie que acceda a él con tu cuenta podría descubrir información confidencial, no dudes en guardar la contraseña en tu navegador, pero desactiva la función de autocompletar para mantener el control.
Utilizala autenticación multifactorial siempre que sea posible. Reduce enormemente el riesgo en caso de que alguien se haga con tu contraseña. Además, evita utilizar el gestor de contraseñas del navegador para guardar los datos de tu tarjeta de crédito u otra información confidencial que permita identificarte personalmente, como datos médicos.
Seamos realistas, una ventana de incógnito tiene sus limitaciones.
Filtraciones de datos, comercio en la dark web, fraude crediticio. Malwarebytes Identity Theft supervisa todo ello, te avisa rápidamente y incluye un seguro contra el robo de identidad.
