Microsoft presenteert de wachtwoordmanager van Edge als een veilige kluis met versleutelde opslag en bescherming via Windows Hello. In de praktijk blijken opgeslagen wachtwoorden echter gewoon als platte tekst in het werkgeheugen aanwezig te zijn.
Lees verder na de advertentie
Wachtwoorden in het geheugen
Wachtwoordmanagers zijn bedoeld om inloggegevens veilig op te slaan en af te schermen tegen misbruik. Daarbij geldt als basisprincipe dat wachtwoorden alleen tijdens daadwerkelijk gebruik kortstondig in ontsleutelde vorm in het werkgeheugen aanwezig mogen zijn. Uit onderzoek blijkt echter dat de in Microsoft Edge geïntegreerde wachtwoordmanager daar niet aan voldoet.
De Noorse beveiligingsonderzoeker Tom Joran Rønning wees op X op het probleem. Volgens hem biedt de combinatie van versleutelde opslag en authenticatie via Windows Hello vooral schijnveiligheid. Onder bepaalde instellingen kunnen opgeslagen wachtwoorden namelijk eenvoudig via een geheugendump uit Edge worden uitgelezen door iemand met lokale toegang tot het systeem.
Tip!
Slimme IP-camera’s met live toezicht en haarscherpe beveiliging!
Wachtwoorden direct zichtbaar in geheugen
Uit analyses blijkt dat opgeslagen wachtwoorden als platte tekst in het werkgeheugen terechtkomen. Daarbij is geen actieve login nodig: wachtwoorden kunnen al direct na het starten van de browser in het geheugen aanwezig zijn.
Nog problematischer is dat het sluiten van het browservenster het Edge-proces niet daadwerkelijk beëindigt. De browser blijft op de achtergrond actief, waardoor ook vanuit dat achtergrondproces opgeslagen wachtwoorden uitleesbaar blijven.
Verouderde omgang met wachtwoorden
Dat opgeslagen wachtwoorden langdurig als platte tekst in het procesgeheugen aanwezig blijven, geldt al jaren als een verouderde en onveilige aanpak. Moderne beveiligingsprincipes schrijven juist voor dat gevoelige gegevens alleen tijdens actief gebruik kortstondig worden ontsleuteld en daarna direct weer uit het geheugen verdwijnen. Tegen die achtergrond is het opvallend dat Microsoft het probleem niet eerder heeft aangepakt.
Microsoft past Edge aan
Microsoft heeft inmiddels aanpassingen in Edge doorgevoerd. De browser laadt opgeslagen wachtwoorden bij het opstarten niet langer automatisch in het werkgeheugen. Daarmee verkleint Microsoft het risico dat wachtwoorden via geheugendumps kunnen worden uitgelezen. Tegelijkertijd moet de wijziging het gebruik van externe wachtwoordmanagers zoals KeePassXC vereenvoudigen en de overstap naar andere browsers minder afhankelijk maken van de ingebouwde Edge-opslag.
Volgens beveiligingsonderzoeker Tom Joran Rønning kijken inmiddels ook andere Chromium-gebaseerde browsers kritisch naar hun omgang met wachtwoorden in het geheugen. Daarmee lijkt de discussie zich breder uit te strekken dan alleen Microsoft Edge.
Tot slot
De kwestie rond Edge laat zien dat sterke versleuteling op zichzelf geen garantie biedt voor veilige wachtwoordopslag. Uiteindelijk bepaalt ook de omgang met gevoelige gegevens in het werkgeheugen hoe goed gebruikers daadwerkelijk beschermd zijn. Dat Microsoft het oorspronkelijke gedrag als bewuste ontwerpkeuze verdedigde, illustreert bovendien hoe browsermakers voortdurend balanceren tussen gebruiksgemak, prestaties en beveiliging.
Tip
Krijg direct toegang tot alle beschikbare edities op je laptop, tablet of smartphone.
Praat mee