Jakiś czas temu zastanawialiśmy się, czy warto zezwolić przeglądarce na zapamiętywanie haseł.
W tym artykule wspomnieliśmy o znaczeniu szyfrowania.
„W przypadkumenedżera haseł w przeglądarce osoba mająca dostęp do przeglądarki mogłaby zobaczyć Twoje hasła w postaci zwykłego tekstu, chociaż Windows skonfigurować tak, aby wymagałuwierzytelnienia(tego samego, którego używasz podczas uruchamiania urządzenia)”.
Typowe działanie menedżerów haseł w przeglądarkach polega na przechowywaniu haseł w postaci zaszyfrowanej na dysku, powiązanych z kontem użytkownika i chronionych przez system operacyjny.
Jednak niedawno badacz zajmujący się bezpieczeństwem poddał systematycznym testom wszystkie główne przeglądarki oparte na silniku Chromium pod kątem sposobu, w jaki obsługują dane uwierzytelniające w pamięci. Okazało się, że Edge jedyna przeglądarka Edge podczas uruchamiania cały magazyn haseł w postaci zwykłego tekstu do pamięci procesowej, gdzie pozostaje on przez cały czas trwania sesji.
Zauważono, że Chrome inne przeglądarki oparte na silniku Chromium odszyfrowują hasło tylko wtedy, gdy jest to konieczne (w przypadku autouzupełniania lub opcji „pokaż hasło”), a nie całą zawartość sejfu, oraz stosują takie mechanizmy jak szyfrowanie kluczy powiązane z aplikacją. Edge tych zabezpieczeń w tym kontekście.
W związku z tym badacz postanowił stworzyć program typu proof-of-concept (PoC), aby wykazać, że uzyskanie dostępu do tego magazynu danych nie wymaga wykorzystania luk typu zero-day ani skomplikowanych metod ataku. Wymaga to jedynie stosunkowo prostej umiejętności odczytu pamięci procesu, co z kolei wymaga uprawnień administratora.
Kiedy jednak badacz zgłosił tę sprawę firmie Microsoft, reakcja nie była zbyt zachęcająca. Oficjalna odpowiedź firmy brzmiała, że takie zachowanie jest „zgodne z zamierzeniami”. Najprawdopodobniej uzasadniono to tym, że przyspiesza ono logowanie i autouzupełnianie, a atakujący musieliby już dysponować zainfekowanym komputerem lub uprawnieniami administratora, aby odczytać zawartość pamięci RAM, co Microsoft uznaje za wykraczające poza zakres tej decyzji projektowej.
Co w zasadzie jest prawdą. Atakujący musi już dysponować znacznym dostępem: na przykład możliwością uruchamiania kodu na komputerze oraz odczytu pamięci procesu Edge, co często wymaga uprawnień administratora. Nie jest to zdalna, niewymagająca uwierzytelnienia luka w przeglądarce, ale jej konstrukcja ułatwia pozyskiwanie danych uwierzytelniających po przejęciu kontroli nad systemem. A jest to zdolność, którą dysponuje już wiele programów służących do kradzieży danych.
To tylko kolejna rzecz, jaką może zrobić osoba atakująca po przejęciu kontroli nad Twoim komputerem. W połączeniu z wynikami badań naukowych z 2024 roku, które wykazały, że wiele menedżerów haseł w pewnych okolicznościach ujawnia hasła w postaci zwykłego tekstu w pamięci, skłania nas to do ponownego przekazania naszej rady.
Czy należy zezwolić przeglądarce na zapamiętywanie haseł?
Menedżer haseł w przeglądarce zapewnia wygodę użytkowania, ale wiąże się to z pewnym obniżeniem poziomu bezpieczeństwa. Oczywiście menedżery haseł również nie są niezawodne, dlatego warto samodzielnie zdecydować, gdzie przechowywać swoje hasła.
Jeśli masz pewność, że strona jest bezpieczna i nikt, kto uzyska dostęp do niej za pomocą Twojego konta, nie dowie się niczego nowego, możesz śmiało zapisać hasło w przeglądarce, ale wyłącz funkcję autouzupełniania, aby zachować kontrolę.
W miarę możliwości korzystaj zuwierzytelniania wieloskładnikowego (MFA). Znacznie zmniejsza to ryzyko na wypadek, gdyby ktoś zdobył Twoje hasło. Unikaj też przechowywania danych kart kredytowych lub innych wrażliwych danych osobowych, takich jak informacje medyczne, w menedżerze haseł przeglądarki.
Dodamy jednak, że spośród głównych przeglądarek Edge być najsłabszą opcją, jeśli nadal zdecydujesz się korzystać z wbudowanego menedżera haseł.
Powstrzymaj zagrożenia, zanim wyrządzą jakąkolwiek szkodę.
Malwarebytes Browser Guard automatycznieBrowser Guard strony phishingowe i złośliwe witryny. Bezpłatny, wystarczy jedno kliknięcie, aby zainstalować. Dodaj go do swojej przeglądarki →
