新上线今天0 投票
微软确认 Edge 以明文存储密码:这是设计,但安全吗?
快讯:Edge 明文存储密码引发安全担忧
微软近日确认,Microsoft Edge 浏览器会将用户保存的密码以**明文形式存储在内存(RAM)**中。这一发现由安全研究员 Tom Jøran Sønstebyseter Rønning 披露,他在社交平台发布了演示视频,并开源了检测工具 EdgeSavedPasswordsDumper。
问题细节
Rønning 指出,当你使用 Edge 内置的密码管理器保存凭据后,浏览器会在启动时解密所有密码,并持续保留在进程内存中——即便你从未访问过相关网站。然而,在密码管理界面中,Edge 却要求用户重新认证才能查看这些密码,形成一种“外紧内松”的矛盾局面。
微软回应
微软发言人向 ZDNET 表示,这是预期功能,旨在平衡性能、易用性与安全性。只有当设备已被攻陷时,攻击者才能利用该特性窃取密码。微软建议用户安装最新安全更新和防病毒软件来防范威胁。
安全风险分析
- 攻击面:任何能访问 Edge 进程内存的恶意软件(如信息窃取器、木马)均可直接提取明文密码,无需触发用户界面认证。
- 行业对比:其他主流浏览器(如 Chrome、Firefox)通常仅在需要时解密密码,或采用更严格的内存保护机制。Edge 的做法在便利性上更胜一筹,但牺牲了部分纵深防御。
- 实际威胁:对于已感染恶意软件的系统,密码泄露几乎是必然结果。但 Edge 的设计将“最后一道防线”完全交给系统安全,降低了本地攻击的门槛。
小结
微软坚持这是“设计使然”,但安全社区普遍认为,明文驻留内存并非最佳实践。对于普通用户,启用操作系统级安全功能(如 Windows Defender、BitLocker)并保持软件更新,可有效降低风险。若对隐私有更高要求,建议使用专用密码管理器(如 Bitwarden、1Password),它们通常对内存中的敏感数据做额外加密。
