Некоторое время назад мы обсуждали, стоит ли разрешать браузеру запоминать ваши пароли.
В той статье мы упомянули о важности шифрования.
«При использованиивстроенного в браузер менеджера паролей любой, кто имеет доступ к вашему браузеру, может увидеть ваши пароли в открытом виде, хотя Windows настроить запрос нааутентификацию(ту же, что вы используете при запуске устройства)».
Как правило, менеджеры паролей в браузерах хранят пароли в зашифрованном виде на диске, привязывая их к учетной записи пользователя и обеспечивая их защиту с помощью операционной системы.
Однако недавно один из исследователей в области безопасности провел систематическое тестирование всех основных браузеров на базе Chromium с целью выяснить, как они обрабатывают учетные данные в памяти. Исследователь обнаружил, что Edge единственный браузер, который при запуске загружает весь хранилище паролей в память процесса в виде открытого текста, где оно остается на протяжении всего сеанса.
Было замечено, что Chrome другие браузеры на базе Chromium расшифровывают только пароль при необходимости (для автозаполнения или при выборе опции «Показать пароль»), а не весь хранилище, и используют такие механизмы, как шифрование ключей на уровне приложения. Edge в данном контексте Edge эти меры защиты.
Итак, исследователь решил создать прототип (PoC), демонстрирующий, что доступ к этому хранилищу не требует использования уязвимостей «нулевого дня» или сложных методов эксплуатации. Он основан на относительно простой возможности считывания памяти процесса, для чего, однако, требуются повышенные привилегии.
Однако когда исследователь сообщил об этой проблеме в Microsoft, реакция оказалась неутешительной. Официальный ответ компании заключался в том, что такое поведение является «заложенным в дизайн». Вероятнее всего, это объясняется тем, что данная особенность ускоряет процесс входа в систему и автозаполнение, а для чтения содержимого ОЗУ злоумышленникам уже потребовался бы скомпрометированный компьютер или права с повышенным уровнем доступа, что Microsoft считает выходящим за рамки данного проектного решения.
В принципе, это верно. Злоумышленнику уже требуется значительный доступ: например, возможность выполнения кода на компьютере и чтения памяти процесса Edge, что зачастую требует прав с повышенными привилегиями. Речь не идет об удаленной уязвимости в браузере, не требующей аутентификации, но такая архитектура упрощает сбор учетных данных после взлома. И именно этой возможностью уже обладают многие программы для кражи данных.
Это всего лишь ещё один из способов, которыми может воспользоваться злоумышленник после взлома вашего компьютера. В совокупности с результа тами научного исследования 2024 года, в ходе которого было установлено, что многие менеджеры паролей при определённых условиях передают пароли в виде открытого текста в оперативную память, это заставляет нас вновь повторить наш совет.
Следует ли разрешать браузеру запоминать ваши пароли?
Встроенный в браузер менеджер паролей обеспечивает удобство использования, но при этом снижает уровень безопасности. Конечно, менеджеры паролей тоже не являются абсолютно надежными, поэтому важно самостоятельно решить, где хранить свои пароли.
Если вы уверены, что сайт безопасен и что любой, кто получит доступ к нему под вашей учетной записью, не узнает ничего нового, можете смело сохранять пароль в браузере, но отключите функцию автозаполнения, чтобы сохранить контроль над ситуацией.
По возможности используйтемногофакторную аутентификацию (MFA). Это значительно снижает риск в случае, если кто-то получит доступ к вашему паролю. Также не храните данные кредитных карт или другую конфиденциальную личную информацию, например медицинские данные, в менеджере паролей браузера.
Однако мы хотели бы добавить, что из всех основных браузеров Edge наименее подходящим вариантом, если вы все же решите воспользоваться встроенным менеджером паролей.
Пресекайте угрозы, пока они не нанесли ущерб.
Malwarebytes Browser Guard автоматическиBrowser Guard фишинговые страницы и вредоносные сайты. Бесплатно, устанавливается одним щелчком мыши. Добавьте его в свой браузер →
