A Microsoft informou que alterará o tratamento de senhas Edgecomo uma medida de “defesa em profundidade”.
Originalmente, Edge todo o armazenamento de senhas salvas na inicialização e mantinha todas as credenciais na memória do processo em texto simples durante toda a sessão do navegador, independentemente de uma determinada credencial ter sido usada ou não.
Há pouco tempo, a Microsoft afirmou que esse comportamento de senhas em texto simples era intencional. Agora, a Microsoft mudou de rumo, e o novo comportamento de tratamento de senhas já está presente no Canary (a versão experimental do Microsoft Edge), com a implementação priorizada em todos os canais.
O pesquisador que inicialmente sinalizou o problema afirmou:
Edge o único navegador baseado no Chromium que testei que se comporta dessa maneira. Em contrapartida, Chrome um design que torna muito mais difícil para os invasores extraírem senhas salvas simplesmente lendo a memória do processo.”
Gareth Evans, líder Edge Microsoft Edge , afirmou que a Microsoft está agora adotando uma visão mais ampla e se comprometeu a alterar Edge que as senhas salvas não sejam mais carregadas na memória na inicialização como texto simples. Como resultado, a exposição será reduzida, o que representa uma melhoria na defesa em profundidade. Isso significa que, mesmo que um invasor tenha controle administrativo sobre um dispositivo, fica mais difícil coletar todas as senhas.
De acordo com a Microsoft:
“A partir de agora, Edge Microsoft Edge não Edge mais todas as senhas salvas na memória ao iniciar o navegador. Em vez disso, as senhas serão descriptografadas apenas quando necessário para operações de preenchimento automático ou gerenciamento de senhas.”
A alteração já está disponível no canal Edge e será incluída na próxima atualização para todas Edge compatíveis Edge (build 148 e posteriores nos canais Stable, Beta, Dev, Canary e Extended Stable).
A razão para essa mudança provavelmente tem mais a ver com reputação e estratégia do que com o reconhecimento de uma vulnerabilidade explorável. A Microsoft parece querer alinhar a realidade com sua mensagem de “segurança desde a concepção” e eliminar uma falha muito visível e fácil de demonstrar, mesmo que ainda não a trate como um bug clássico de divulgação de memória.
Senhas no seu navegador
Observe que essa mudança significa apenas que Edge ser uma opção de armazenamento de senhas tão segura quanto qualquer outro navegador baseado no Chromium.
O gerenciador de senhas do seu navegador oferece praticidade, mas isso acarreta alguns riscos à segurança. É claro que os gerenciadores de senhas também não são infalíveis, por isso é importante decidir por conta própria onde você armazena suas senhas.
Se você tiver certeza de que um site é seguro e de que ninguém que acesse ele pela sua conta terá acesso a informações confidenciais, fique à vontade para salvar a senha no navegador, mas desative o preenchimento automático para manter o controle.
Sempre que possível, usea autenticação multifatorial (MFA). Isso reduz significativamente o risco caso alguém consiga obter sua senha. Além disso, evite usar o gerenciador de senhas do navegador para armazenar os dados do seu cartão de crédito ou outras informações pessoais confidenciais, como dados médicos.
Vamos ser sinceros: uma janela anônima tem suas limitações.
Violações de dados, comércio na dark web, fraudes de crédito. Malwarebytes Identity Theft monitora tudo isso, avisa você rapidamente e inclui um seguro contra roubo de identidade.
