Edge 不再在内存中明文保存密码

关键信息

研究员 Tom Jøran Sønstebyseter Rønning 展示了 Edge 会在启动时解密凭据，并将其保留在进程内存中。微软此前称这种行为是预期设计，只有设备已被入侵时才会构成风险，但现在已改变做法；用户只需更新 Edge 即可，无需额外操作。

资讯摘要

微软 Edge 正在改变其处理已保存密码内存数据的方式，此前一名安全研究员展示了浏览器会在 RAM 中以明文保存这些密码。这个问题影响的是使用 Edge 内置 Microsoft Password Manager 的用户。研究员 Tom Jøran Sønstebyseter Rønning 发布了名为 EdgeSavedPasswordsDumper 的代码，并用视频演示了如何在进程内存中检测到已保存的凭据。他解释说，Edge 会在启动时解密所有已保存的凭据，并将它们保留在内存中，即使用户还没有访问任何需要这些凭据的网站也是如此。

微软最初表示，这是预期中的行为，并认为攻击者必须已经获得设备的管理员级访问权限才会构成风险。微软还把这件事描述为性能、易用性和安全性之间的权衡。后来在重新评估这一发现后，微软改变了立场，并表示将不再在启动时把密码加载到内存中。该修复正在向所有受支持的 Edge 渠道推送，148 版及更高版本已包含在更新路径中，用户只需将 Edge 更新到最新版本即可。

资讯正文

微软 Edge 刚刚停止以明文形式存储你的密码——但你需要安装最新更新

如果你使用 Microsoft Edge 保存和管理你的网站密码，那么现在你应该能更安心一些，因为你的密码将受到更好的保护，免受安全风险影响。

在 Microsoft Edge 安全团队负责人 Gareth Evans 最近发布的一篇文章中，该公司宣布，Edge 将不再在内存中以明文形式存储你的密码。这一变化是为了回应最近一项质疑已存储密码安全性的发现。

一名安全研究人员发现，当你使用浏览器管理密码时，Edge 会把你的明文密码存储在内存中。研究员 Tom Jøran Sønstebyseter Rønning 在一则社交媒体帖子中解释了这一流程，并发布了一段展示其实际运行的视频。

“当你在 Edge 中保存密码时，浏览器会在启动时解密每一项凭据，并将它们保留在进程内存中，”Rønning 说。“即使你从未访问过使用这些凭据的网站，这种情况也会发生。与此同时，Edge 要求你在 Password Manager 界面显示这些相同密码之前重新进行身份验证——但浏览器进程此时已经以明文形式拥有了它们全部。”

微软将这一行为称为预期功能

在 GitHub 上，Rønning 发布了他创建的用于检测这一行为的代码。该代码名为 EdgeSavedPasswordsDumper，它证明了使用 Microsoft Password Manager 在 Edge 中保存的任何凭据，都会以明文形式保存在 Edge 进程内存中。

在向 ZDNET 分享的一份声明中，微软承认了这一行为，但表示这属于预期功能，只有在你的设备已经被入侵的情况下才会构成风险。

“如所报道情景中所描述的那样访问浏览器数据，需要设备本身已经被入侵，”微软发言人在声明中说。“在这一领域的设计选择涉及在性能、可用性和安全性之间取得平衡，我们会持续根据不断演变的威胁进行审视。浏览器会在内存中访问密码数据，以帮助用户快速且安全地登录——这是该应用的预期功能。我们建议用户安装最新的安全更新和杀毒软件，以帮助防范安全威胁。”

微软关于你的设备必须已经被入侵的说法似乎确实成立，至少从 Rønning 的测试来看是这样。如视频所示，这一过程的前提是攻击者已经攻破了一个拥有管理员权限的用户账户，随后这将使其能够访问所有已登录用户进程的内存，并查看其中的明文密码。

尽管微软声称这是预期行为，但它后来改变了立场。

“我们将不再在启动时把密码加载到内存中，”Evans 在他的帖子中说。

这一项纵深防御改动将适用于 Edge 所有受支持的版本（Stable、Beta、Dev、Canary，以及企业客户使用的 Extended Stable 频道），而且我们正在优先推进部署。该改动目前已在 Edge Canary 中生效，并将包含在所有 Edge 版本的下一个更新中，适用于 build 148 及更新版本。

148 版已经发布，所以在更新之后你的保护应该会更好。要执行更新，点击顶部的三点“设置”图标，进入“帮助和反馈”，然后选择“关于 Microsoft Edge”。最新更新会自动下载并安装。重启 Edge 后，新版本就会启用。除了安装最新版本之外，你不需要采取任何特殊操作。

尽管微软最初给出的理由可能是成立的，但这种行为看起来似乎是 Edge 密码管理器独有的。Rønning 说，Edge 是他测试过的唯一一款会这样做的基于 Chromium 的浏览器。相比之下，Google Chrome 只会在需要时解密凭据，而不是始终把所有密码保留在内存中。Rønning 补充说，Chrome 的设计使攻击者仅通过读取设备内存就提取已保存密码要困难得多。

Rønning 表示：“尽管 Edge 基于 Chromium，但我测试过的其他基于 Chromium 的浏览器都没有使用 Microsoft Password Manager 来存储密码和自动填充数据。我也怀疑这是否基于 Chromium？”

另外：这 5 项关键的 Windows Defender 设置默认处于关闭状态——请尽快将它们开启

作为对 Rønning 帖子的回应，另一位人士表示，这些凭据可以以加密格式存储在内存中。它们只会在需要登录网站时解密，随后立刻被清除。

安全服务商 BeyondTrust 的首席安全顾问 Morey Haber 告诉 ZDNET：“从防御角度看，以明文形式将密码存储在内存中，违反了最小权限、零信任和安全应用设计原则。这纯粹是个坏主意。如果密码能够被人类或恶意进程从内存中读取，它就不再是受保护的机密。从本质上说，它已经通过在本就不安全的介质中以明文存储而遭到破坏。”

使用浏览器内置密码管理器的隐患

起初，我建议 Edge 用户寻找其他方式来管理密码。既然微软已经修复了这一安全漏洞，我认为你现在可以依赖 Edge 的密码管理器。

不过，我建议改用专门的第三方密码管理器这一点仍然成立。没错，使用浏览器内置的密码管理器看起来快捷又方便，但它也有一些隐患。

如果有人通过你的密码、PIN 码或通行码获取了对你的 PC 或移动设备的访问权限，他们就可以启动浏览器，并用同样的方法查看你的密码。我曾在一台 Windows PC 上仅使用我的 PIN 进行了测试，并成功访问了 Edge 中的明文密码。一个好的第三方密码管理器需要更强的身份验证才能查看你的密码。

另外：最佳密码管理器：经过专家测试

内置密码管理器只适用于那个特定的浏览器。

你可以把 Edge 作为默认浏览器，但有时也可能会转向 Chrome 或 Firefox。在这种情况下，你存储的密码就无法使用。我个人和工作中都同时使用 Firefox、Chrome 和 Edge，所以我的密码需要能在这三者之间都可访问。

如果你只使用 Edge，那么当然可以把它当作你的密码管理器。但如果你还想使用其他浏览器，那么第三方密码管理器仍然是你的最佳选择。

来源与参考

1. 原始链接
2. Microsoft Edge just stopped storing your passwords in plaintext - but you'll need the latest update