Microsoft heeft laten weten dat het de manier waarop Edgemet wachtwoorden omgaat gaat aanpassen als onderdeel van een „meerlaagse beveiligingsstrategie“.
Oorspronkelijk Edge bij het opstarten de volledige opslagplaats met opgeslagen wachtwoorden en hield het alle inloggegevens gedurende de hele browsersessie in leesbare tekst in het procesgeheugen, ongeacht of een bepaalde inloggegeven ooit werd gebruikt of niet.
Nog niet zo lang geleden verklaarde Microsoft dat dit gedrag met wachtwoorden in leesbare tekst zo was bedoeld. Nu is Microsoft van koers veranderd en is de nieuwe manier van omgaan met wachtwoorden al aanwezig in Canary (de experimentele previewversie van Microsoft Edge), waarbij de uitrol voor alle kanalen prioriteit krijgt.
De onderzoeker die het probleem als eerste aan de orde stelde, zei:
Edge de enige op Chromium gebaseerde browser die ik heb getest die zich zo gedraagt. Chrome daarentegen Chrome een ontwerp dat het voor aanvallers veel moeilijker maakt om opgeslagen wachtwoorden te achterhalen door simpelweg het procesgeheugen te lezen.”
Gareth Evans, hoofd Edge bij Microsoft Edge , verklaarde dat Microsoft nu een bredere visie hanteert en zich ertoe heeft verbonden Edge aan te passen dat opgeslagen wachtwoorden bij het opstarten niet langer als leesbare tekst in het geheugen worden geladen. Hierdoor wordt het risico op blootstelling verminderd, wat een verbetering vormt in het kader van een meerlaagse beveiliging. Dit betekent dat het voor een aanvaller, zelfs als hij beheerdersrechten over een apparaat heeft, moeilijker wordt om alle wachtwoorden te bemachtigen.
Volgens Microsoft:
“Vanaf nu Edge Microsoft Edge niet langer alle opgeslagen wachtwoorden in het geheugen bij het opstarten van de browser. In plaats daarvan worden wachtwoorden alleen ontsleuteld wanneer dat nodig is voor automatisch invullen of voor beheer van wachtwoorden.”
De wijziging is al beschikbaar in het Edge -kanaal en zal worden opgenomen in de volgende update voor alle ondersteunde Edge (build 148 en nieuwer in de kanalen Stable, Beta, Dev, Canary en Extended Stable).
De reden voor deze wijziging is waarschijnlijk eerder van reputatie- en strategische aard dan dat er sprake is van een erkenning van een kwetsbaarheid die misbruikt kan worden. Microsoft lijkt de werkelijkheid in overeenstemming te willen brengen met zijn boodschap van „secure by design“ en een zeer zichtbare, gemakkelijk te demonstreren zwakte te willen verminderen, ook al beschouwt het dit nog steeds niet als een klassieke bug die tot het vrijgeven van geheugengegevens leidt.
Wachtwoorden in je browser
Houd er rekening mee dat deze wijziging alleen maar betekent dat Edge ongeveer even veilig Edge als elke andere op Chromium gebaseerde browser voor het opslaan van wachtwoorden.
De wachtwoordbeheerder van je browser biedt gebruiksgemak, maar daar staan enkele veiligheidsrisico’s tegenover. Natuurlijk zijn wachtwoordbeheerders ook niet waterdicht, dus het is belangrijk dat je zelf bepaalt waar je je wachtwoorden opslaat.
Als je er zeker van bent dat een website veilig is en dat niemand die via jouw account toegang heeft tot de site gevoelige informatie te zien krijgt, kun je het wachtwoord gerust in je browser opslaan, maar schakel dan wel de functie voor automatisch invullen uit, zodat je zelf de controle behoudt.
Gebruikwaar mogelijk meervoudige authenticatie (MFA). Dit vermindert het risico aanzienlijk als iemand je wachtwoord in handen krijgt. En vermijd het gebruik van de wachtwoordbeheerder van je browser om je creditcardgegevens of andere gevoelige, persoonlijk identificeerbare informatie, zoals medische gegevens, op te slaan.
Laten we eerlijk zijn: een incognitovenster heeft zo zijn beperkingen.
Datalekken, handel op het dark web, kredietfraude. Malwarebytes Identity Theft houdt dit allemaal in de gaten, waarschuwt u direct en biedt bovendien een verzekering tegen identiteitsdiefstal.
