Firma Microsoft ogłosiła, że zmieni sposób obsługi haseł Edgew ramach strategii „wielopoziomowej ochrony”.
Pierwotnie Edge cały zbiór zapisanych haseł podczas uruchamiania i przechowywała wszystkie dane logowania w pamięci procesowej w postaci zwykłego tekstu przez całą sesję przeglądarki, niezależnie od tego, czy dane dane logowania były kiedykolwiek używane, czy nie.
Jeszcze niedawno firma Microsoft twierdziła, że takie działanie haseł w postaci zwykłego tekstu było zamierzone. Obecnie firma zmieniła jednak stanowisko, a nowe zasady obsługi haseł są już dostępne w Canary (eksperymentalnej wersji zapoznawczej przeglądarki Microsoft Edge), a ich wdrażanie jest traktowane priorytetowo we wszystkich kanałach.
Naukowiec, który jako pierwszy zwrócił uwagę na tę kwestię, powiedział:
Edge jedyna przeglądarka oparta na silniku Chromium, jaką testowałem, która zachowuje się w ten sposób. Natomiast Chrome rozwiązanie, które znacznie utrudnia atakującym wydobycie zapisanych haseł poprzez zwykłe odczytanie pamięci procesu”.
Gareth Evans, kierownik Edge Microsoft Edge , powiedział, że firma Microsoft przyjmuje obecnie szerszą perspektywę i zobowiązała się do wprowadzenia zmian Edge aby zapisane hasła nie były już ładowane do pamięci podczas uruchamiania w postaci zwykłego tekstu. W rezultacie ryzyko ujawnienia danych zostanie zmniejszone, co stanowi ulepszenie w ramach wielopoziomowej ochrony. Oznacza to, że nawet jeśli osoba atakująca uzyska uprawnienia administratora na urządzeniu, trudniej będzie jej pozyskać wszystkie hasła.
Według firmy Microsoft:
„W przyszłości przeglądarka Microsoft Edge nie Edge już ładować wszystkich zapisanych haseł do pamięci przy uruchomieniu. Zamiast tego hasła będą odszyfrowywane tylko wtedy, gdy będzie to konieczne do automatycznego wypełniania lub zarządzania hasłami”.
Zmiana jest już dostępna w kanale Edge i zostanie uwzględniona w kolejnej aktualizacji dla wszystkich obsługiwanych Edge (kompilacje 148 i nowsze w kanałach Stable, Beta, Dev, Canary oraz Extended Stable).
Przyczyną tej zmiany są prawdopodobnie raczej względy wizerunkowe i strategiczne, a nie uznanie istnienia luki, którą można wykorzystać. Wygląda na to, że Microsoft chce dostosować rzeczywistość do swojego hasła „bezpieczeństwo od samego początku” i wyeliminować bardzo widoczną, łatwą do zademonstrowania słabość, nawet jeśli nadal nie traktuje jej jako klasycznego błędu powodującego ujawnienie zawartości pamięci.
Hasła w przeglądarce
Należy pamiętać, że zmiana ta oznacza jedynie, iż Edge mniej więcej tak samo bezpieczną opcją do przechowywania haseł, jak każda inna przeglądarka oparta na silniku Chromium.
Menedżer haseł w przeglądarce zapewnia wygodę użytkowania, ale wiąże się to z pewnymi kompromisami w zakresie bezpieczeństwa. Oczywiście menedżery haseł również nie są niezawodne, dlatego warto samodzielnie zdecydować, gdzie przechowywać swoje hasła.
Jeśli masz pewność, że strona internetowa jest bezpieczna i nikt, kto uzyska dostęp do niej za pomocą Twojego konta, nie uzyska żadnych poufnych informacji, możesz śmiało zapisać hasło w przeglądarce, ale wyłącz funkcję autouzupełniania, aby zachować kontrolę.
W miarę możliwości korzystaj zuwierzytelniania wieloskładnikowego (MFA). Znacznie zmniejsza to ryzyko w przypadku, gdy ktoś wpadnie w posiadanie Twojego hasła. Unikaj też przechowywania danych kart kredytowych lub innych wrażliwych danych osobowych, takich jak informacje medyczne, w menedżerze haseł przeglądarki.
Spójrzmy prawdzie w oczy – okno incognito ma swoje ograniczenia.
Naruszenia bezpieczeństwa, handel na dark webie, oszustwa kredytowe. Theft Malwarebytes Identity Theft monitoruje wszystkie te zagrożenia, szybko Cię o nich powiadamia i obejmuje ubezpieczenie od kradzieży tożsamości.
