Если вы предпочитаете сохранять свои пароли в браузере, вам нужно быть осторожнее. Исследователь безопасности из Норвегии Том Йоран Сенстебюсетер Реннинг обнаружил в Microsoft Edge серьезную уязвимость, вследствие которой пароли хранятся в памяти в виде открытого текста.

Любой злоумышленник, имеющий локальный доступ, может легко перехватить все сохраненные вами пароли, даже если они вообще не использовались в последнем сеансе. Для этого достаточно просто извлечь их из памяти и скопировать.

Обычно менеджеры паролей используют сквозное шифрование и помещают пароли в облачное хранилище, чтобы пользователи могли получать к ним доступ из любого места. При запросе пароля программа расшифровывает его, а затем удаляет из оперативной памяти.

Сохранять загруженные пароля без какого-либо шифрования опасно. По словам Реннинга, Edge – единственный из всех протестированных им браузеров на основе Chromium, который ведет себя подобным образом.

Для просмотра паролей Edge действительно требует аутентификации, но это не имеет большого значения, поскольку злоумышленники могут получить доступ к паролям, просто прочитав данные из оперативной памяти.

Поделившись своими выводами с Microsoft, исследователь получил неожиданный ответ. Оказывается, управление паролями в Edge – это «не ошибка, а продуманное техническое решение». Неясно, правда, какие преимущества оно сулит клиентам.

Со своей стороны, Рённинг решил предупредить пользователей о том, как все работает, и планирует опубликовать на GitHub собственный инструмент, с помощью которого любой желающий сможет проверить, размещает ли Edge его пароли в памяти в виде открытого текста.

Тем же, кто сохраняет в Edge свои пароли, лучше выбрать менеджер паролей, который действительно безопасен, и удалить их из Edge.