Via den indbyggede passwordmanager kan der være adgang til gemte adgangskoder til en af it-verdenens mest udbredte browsere.
Det drejer sig om Microsoft Edge, der er Danmarks næststørste browser på desktop.
Ifølge tal fra StatCounter sidder Edge-browseren på en markedsandel på 15,1 procent på desktop-brugere i Danmark. Kun Google Chrome er større med 64,08 procent.
Derfor er det også værd at hæfte sig ved et nyt sikkerhedsfund i Microsofts browser, der handler om Edges indbyggede password-manager, der ifølge en test kan efterlade gemte adgangskoder i læsbar form i browserens hukommelse, skriver mediet Itavisen.no.
Ifølge mediet er fundet gjort af den norske sikkerhedsforsker Tom Jøran Sønstebyseter Rønning, der arbejder med penetrationstest.
Adgangskode kunne findes efter genstart
Det opsigtsvækkende ved fundet er ifølge Tom Jøran Sønstebyseter Rønning selve spændet mellem Edges brugerflade og browserens håndtering af adgangskoder.
Microsoft Edge fremstår ellers som en sikker løsning til gemte adgangskoder, da login-oplysningerne lagres krypteret og brugeren skal godkende sig med Windows Hello for at se, hente eller ændre de gemte data.
Problemet opstår ifølge testen, når browseren håndterer adgangskoderne i hukommelsen.
I testen blev der oprettet en konto i Edge med adgangskoden “Klartext-PW-Test”, mens browserens password-manager var slået til.
Derefter blev browseren lukket og åbnet igen. Edge viste kun startsiden og adgangskoden var endnu ikke blevet brugt i den nye browsersession.
Alligevel kunne adgangskoden findes i browserens hukommelse.
Det skete ved at oprette et såkaldt memory dump af browserprocessen via Windows Jobliste.
Filen fyldte omkring 670 MB, og en søgning med en hex-editor efter ordet “Klartext” fandt hele adgangskoden.
Adgangskoden lå dermed læsbart i hukommelsen, selv om den ikke var blevet brugt efter genstarten af browseren.
Microsoft kalder det et designvalg
Efter Tom Jøran Sønstebyseter Rønning gjorde sit fund, rapporterede han det til Microsoft.
Han har herefter fået svar fra Microsoft på sin anmeldelse.
Her skulle Microsoft have oplyst, at der er tale om en bevidst designbeslutning og at adfærden er tilsigtet – og at der altså ikke er tale om en fejl.
Det gør fundet mere opsigtsvækkende. Edge beskytter altså de gemte adgangskoder med kryptering og Windows Hello i selve password-manageren.
Testen peger samtidig på, at adgangskoderne kan ende læsbart i browserens hukommelse, når programmet kører.
For sikkerhedsbevidste brugere lyder anbefalingen derfor, at man bør overveje en anden password-manager.
Kalder det for en forældet password-håndtering
Den type håndtering af adgangskoder bliver ifølge mediet beskrevet som en forældet sikkerhedspraksis.
Efter almindelige sikkerhedsprincipper bør adgangskoder kun dekrypteres, når de skal bruges, og derefter hurtigt fjernes fra hukommelsen igen.
I den konkrete test ser Edge ud til at indlæse adgangskoder i hukommelsen, selv om de tilhørende websites slet ikke er blevet besøgt.
