详细内容或原文请订阅后点击阅览
根据 Microsoft 的说法,为什么 Edge 以明文形式存储您的密码
微软表示,这种行为是设计使然的。但这仍然存在安全风险吗?
来源:ZDNet | 机器人新闻关注 ZDNET:将我们添加为 Google 上的首选来源。
ZDNET 的关键要点
您是否使用 Microsoft Edge 保存和管理您的网站密码?如果是这样,一项新的发现就会引发有关您存储的密码的安全性的问题。
安全研究人员发现,当您使用浏览器管理密码时,Edge 会将您的明文密码存储在内存中。在社交媒体帖子中,研究员 Tom Jøran Sønstebyseter Rønning 解释了该过程的工作原理,并发布了一段视频来展示其实际情况。
另外:特洛伊木马滥用 Microsoft Phone Link 应用程序窃取您的密码
“当你在 Edge 中保存密码时,浏览器会在启动时解密每个凭据,并将它们保留在进程内存中,”Rønning 说。 “即使您从未访问过使用这些凭据的网站,也会发生这种情况。同时,Edge 要求您在密码管理器 UI 中显示相同密码之前重新进行身份验证 - 但浏览器进程已经将它们全部以明文形式呈现。”
Microsoft 将行为称为预期功能
在 GitHub 上,Rønning 发布了他创建的用于检测此行为的代码。该代码被称为 EdgeSavedPasswordsDumper,演示了使用 Edge 中的 Microsoft 密码管理器存储的任何凭据都以明文形式保存在 Edge 进程内存中。
在与 ZDNET 共享的一份声明中,微软承认了这一行为,但表示这是一项预期功能,只有当您的设备已经受到损害时才会构成风险。
另外:可以在不丢失单次登录的情况下切换密码管理器 - 我就是证明
“尽管 Edge 是基于 Chromium 的,但我测试过的其他基于 Chromium 的浏览器都没有使用 Microsoft 密码管理器来存储密码和自动填充数据,”Rønning 说。 “我怀疑这是基于 Chromium 的?”