Microsoft Edge zal wachtwoorden bij opstarten niet meer in geheugen laden

In dit artikel:

Microsoft past Edge aan: vanaf versie 148 worden opgeslagen wachtwoorden bij het opstarten niet langer automatisch ontsleuteld en in het procesgeheugen geladen. De wijziging volgt op melding van de Noorse beveiligingsonderzoeker Tom Jøran Sønstebyseter Rønning, die ontdekte dat Edge alle opgeslagen inloggegevens in platte tekst in het geheugen zet, ook wanneer die niet actief gebruikt worden. Dat vergrootte het risico voor systemen die al door een aanvaller zijn gecompromitteerd.

Rønning meldde het probleem aan Microsoft en publiceerde zijn bevindingen op X; hij stelde dat Chromium-browsers zoals Chrome dit gedrag niet vertonen. Microsoft stelde aanvankelijk dat het binnen hun dreigingsmodel viel, maar gaf in een blog aan dat er ruimte voor verbetering was en voerde een "defense-in-depth"-maatregel door. Praktische consequentie: gebruikers blijven wachtwoorden bekijken via de wachtwoordmanager met authenticatie, maar Edge vermijdt voortaan het onnodig in geheugen houden van ontsleutelde wachtwoorden om het aanvalsoppervlak te verkleinen.