Компания Microsoft заявила, что изменит механизм обработки паролей Edgeв рамках мер по обеспечению «многоуровневой защиты».
Изначально Edge весь хранилище сохраненных паролей при запуске и хранил все учетные данные в памяти процесса в виде открытого текста на протяжении всего сеанса работы браузера, независимо от того, использовались ли эти данные когда-либо или нет.
Некоторое время назад компания Microsoft заявила, что такая работа с паролями в виде открытого текста была предусмотрена разработчиками. Теперь же Microsoft изменила свою позицию, и новая схема обработки паролей уже реализована в Canary (экспериментальной предварительной версии браузера Microsoft Edge), причем ее внедрение будет осуществляться в приоритетном порядке во всех каналах.
Исследователь, который первым обратил внимание на эту проблему, сказал:
Edge единственный браузер на базе Chromium из тех, что я тестировал, который ведет себя именно так. В отличие от него, Chrome такая архитектура, которая значительно затрудняет злоумышленникам извлечение сохраненных паролей путем простого считывания памяти процесса».
Руководитель Edge Microsoft Edge Гарет Эванс заявил, что Microsoft теперь рассматривает ситуацию в более широком контексте и намерена внести изменения Edge сохраненные пароли больше не загружались в память при запуске в виде открытого текста. В результате будет снижена уязвимость, что станет частью комплексной системы защиты. Это означает, что даже если злоумышленник получит права администратора на устройстве, ему будет сложнее перехватить все пароли.
По данным Microsoft:
«В будущем Microsoft Edge больше не Edge загружать все сохраненные пароли в память при запуске браузера. Вместо этого пароли будут расшифровываться только тогда, когда это необходимо для автозаполнения или операций по управлению паролями».
Это изменение уже доступно в канале Edge и будет включено в следующее обновление для всех поддерживаемых Edge (сборка 148 и более поздние версии в каналах Stable, Beta, Dev, Canary и Extended Stable).
Причина этого изменения, вероятно, носит скорее репутационный и стратегический характер, чем является признанием наличия уязвимости, которую можно использовать. Похоже, Microsoft стремится привести реальность в соответствие со своим лозунгом «безопасность по дизайну» и устранить весьма заметную и легко демонстрируемую слабость, даже если компания по-прежнему не рассматривает её как классическую ошибку, приводящую к раскрытию содержимого памяти.
Пароли в браузере
Обратите внимание, что это изменение означает лишь то, что Edge примерно таким же безопасным вариантом для хранения паролей, как и любой другой браузер на базе Chromium.
Встроенный в браузер менеджер паролей обеспечивает удобство использования, но это сопряжено с некоторыми компромиссами в плане безопасности. Конечно, менеджеры паролей тоже не являются абсолютно надежными, поэтому важно самостоятельно решить, где хранить свои пароли.
Если вы уверены, что сайт безопасен и никто, кто получит доступ к нему под вашей учетной записью, не узнает никакой конфиденциальной информации, можете смело сохранять пароль в браузере, но отключите функцию автозаполнения, чтобы сохранить контроль над ситуацией.
По возможности используйтемногофакторную аутентификацию (MFA). Это значительно снижает риск в случае, если кто-то получит доступ к вашему паролю. Также не храните данные кредитных карт или другую конфиденциальную личную информацию, такую как медицинские данные, в менеджере паролей браузера.
Давайте посмотрим правде в глаза: окно в режиме инкогнито имеет свои ограничения.
Утечки данных, торговля в даркнете, мошенничество с кредитными картами. Malwarebytes Identity Theft отслеживает все эти угрозы, оперативно предупреждает вас и включает в себя страховку от кражи личных данных.
