A Microsoft anunciou que irá alterar a forma como Edgegere as palavras-passe, como medida de «defesa em profundidade».
Inicialmente, Edge todo o armazenamento de palavras-passe guardadas no arranque e mantinha todas as credenciais na memória do processo em texto simples durante toda a sessão do navegador, independentemente de uma determinada credencial ter sido ou não utilizada.
Há pouco tempo, a Microsoft afirmou que este comportamento relativo às palavras-passe em texto simples era intencional. Agora, a Microsoft mudou de rumo, e o novo comportamento de gestão de palavras-passe já está presente no Canary (a versão experimental do Microsoft Edge), com a implementação a ser priorizada em todos os canais.
O investigador que inicialmente assinalou o problema afirmou:
Edge o único navegador baseado no Chromium que testei que se comporta desta forma. Em contrapartida, Chrome uma estrutura que torna muito mais difícil aos atacantes extraírem as palavras-passe guardadas através da simples leitura da memória do processo.»
Gareth Evans, responsável Edge Microsoft Edge , afirmou que a Microsoft está agora a adotar uma perspetiva mais abrangente e se comprometeu a alterar Edge que as palavras-passe guardadas deixem de ser carregadas na memória à partida como texto simples. Consequentemente, a exposição será reduzida, o que constitui uma melhoria em termos de defesa em profundidade. Isto significa que, mesmo que um atacante tenha controlo administrativo sobre um dispositivo, torna-se mais difícil obter todas as palavras-passe.
Segundo a Microsoft:
«A partir de agora, Edge Microsoft Edge de carregar todas as palavras-passe guardadas na memória aquando do arranque do navegador. Em vez disso, as palavras-passe serão descodificadas apenas quando necessário para operações de preenchimento automático ou de gestão de palavras-passe.»
A alteração já está disponível no canal Edge e será incluída na próxima atualização para todas Edge compatíveis Edge (build 148 e versões posteriores nos canais Stable, Beta, Dev, Canary e Extended Stable).
A razão para esta alteração é provavelmente mais de natureza reputacional e estratégica do que o reconhecimento de uma vulnerabilidade explorável. A Microsoft parece querer alinhar a realidade com a sua mensagem de «segurança desde a conceção» e reduzir uma fraqueza muito visível e fácil de demonstrar, mesmo que ainda não a trate como um bug clássico de divulgação de memória.
Palavras-passe no seu navegador
Tenha em atenção que esta alteração significa apenas que Edge a ser uma opção de armazenamento de palavras-passe tão segura quanto qualquer outro navegador baseado no Chromium.
O gestor de palavras-passe do seu navegador oferece-lhe facilidade de utilização, mas isso implica alguns compromissos em termos de segurança. É claro que os gestores de palavras-passe também não são infalíveis, por isso é importante decidir por si mesmo onde guardar as suas palavras-passe.
Se tiver a certeza de que um site é seguro e de que ninguém que aceda ao mesmo através da sua conta terá acesso a informações confidenciais, pode guardar a palavra-passe no seu navegador, mas desative o preenchimento automático para manter o controlo.
Sempre que possível, utilizea autenticação multifator (MFA). Isso reduz consideravelmente o risco caso alguém consiga obter a sua palavra-passe. Além disso, evite utilizar o gestor de palavras-passe do navegador para guardar os dados do seu cartão de crédito ou outras informações pessoais sensíveis, como dados médicos.
Sejamos realistas, uma janela de navegação anónima tem as suas limitações.
Violações de segurança, comércio na dark web, fraude de cartões de crédito. Malwarebytes Identity Theft monitoriza tudo isto, alerta-o rapidamente e inclui um seguro contra roubo de identidade.
