Enige tijd geleden hebben we het erover gehad of je je browser je wachtwoorden moet laten onthouden.
In dat artikel hebben we het belang van versleuteling benadrukt.
“Meteen wachtwoordbeheerder in de browser kan iemand die toegang heeft tot je browser je wachtwoorden in leesbare tekst zien, hoewel Windows zo Windows instellen dat er omauthenticatiewordt gevraagd (dezelfde die je gebruikt bij het opstarten van je apparaat).”
Wachtwoordbeheerders in browsers slaan wachtwoorden doorgaans versleuteld op de harde schijf op, gekoppeld aan je gebruikersaccount en beveiligd door het besturingssysteem.
Onlangs heeft een beveiligingsonderzoeker echter alle grote Chromium-gebaseerde browsers systematisch getest op de manier waarop ze met inloggegevens in het geheugen omgaan. De onderzoeker ontdekte dat Edge de enige Edge die bij het opstarten de volledige wachtwoordkluis in leesbare tekst in het procesgeheugen laadde, waar deze gedurende de hele sessie blijft staan.
Er is vastgesteld dat Chrome andere Chromium-browsers een wachtwoord alleen ontsleutelen wanneer dat nodig is (bij automatisch invullen of bij ‘wachtwoord weergeven’), en niet de hele kluis, en dat ze mechanismen zoals app-gebonden versleuteling voor sleutels gebruiken. Edge in deze context geen gebruik Edge deze beveiligingsmaatregelen.
Daarom besloot de onderzoeker een proof-of-concept (PoC) te schrijven om aan te tonen dat toegang tot die kluis niet afhankelijk is van zero-days of ingewikkelde exploits. Het berust op de relatief eenvoudige mogelijkheid om procesgeheugen te lezen, waarvoor wel verhoogde rechten nodig zijn.
Maar toen de onderzoeker het probleem bij Microsoft meldde, viel de reactie tegen. Het officiële antwoord van het bedrijf luidde dat dit gedrag „zo is ontworpen“. De redenering is waarschijnlijk dat dit gedrag het inloggen en het automatisch invullen versnelt, en dat aanvallers sowieso al een gehackte computer of verhoogde toegangsrechten nodig zouden hebben om het RAM-geheugen te lezen, wat Microsoft buiten het bestek van deze ontwerpkeuze beschouwt.
Dat klopt in principe wel. Een aanvaller moet al een flinke voet aan de grond hebben: hij moet bijvoorbeeld code op de machine kunnen uitvoeren en het procesgeheugen Edgekunnen lezen, waarvoor vaak verhoogde rechten nodig zijn. Dit is geen kwetsbaarheid in de browser die op afstand en zonder authenticatie kan worden misbruikt, maar het ontwerp maakt het wel makkelijker om inloggegevens te stelen nadat de systeembeveiliging is doorbroken. En dat is een mogelijkheid waar veel infostealers al over beschikken.
Het is gewoon weer iets wat een aanvaller kan doen zodra hij je computer heeft gehackt. In combinatie met dit academische onderzoek uit 2024, waaruit bleek dat veel wachtwoordbeheerders onder bepaalde omstandigheden wachtwoorden in leesbare tekst naar het geheugen lekken, brengt dit ons ertoe ons advies te herhalen.
Moet u uw browser toestaan om uw wachtwoorden te onthouden?
De wachtwoordbeheerder van je browser biedt gebruiksgemak, maar dat gaat ten koste van een deel van de veiligheid. Natuurlijk zijn wachtwoordbeheerders ook niet waterdicht, dus het is belangrijk dat je zelf bepaalt waar je je wachtwoorden opslaat.
Als je er zeker van bent dat de website veilig is en dat niemand die via jouw account toegang heeft tot de site iets nieuws te weten komt, kun je het wachtwoord gerust in je browser opslaan, maar schakel dan wel de functie voor automatisch invullen uit, zodat je zelf de controle behoudt.
Gebruikwaar mogelijk meervoudige authenticatie (MFA). Dit vermindert het risico aanzienlijk mocht iemand uw wachtwoord in handen krijgen. En gebruik de wachtwoordbeheerder van uw browser niet om uw creditcardgegevens of andere gevoelige, persoonlijk identificeerbare informatie, zoals medische gegevens, op te slaan.
Maar we willen hieraan toevoegen dat Edge , van alle grote browsers, de minst geschikte optie Edge te zijn als je toch besluit om een ingebouwde wachtwoordbeheerder te gebruiken.
Voorkom bedreigingen voordat ze schade kunnen aanrichten.
Malwarebytes Browser Guard automatisch phishingpagina’s en schadelijke websites. Gratis en met één klik te installeren. Voeg het toe aan je browser →
