Siga conectamentado: Agréganos como fuente preferida en Google.
Conclusiones secreto de conectamentado
- Microsoft Edge almacena sus contraseñas en texto sin formato en la RAM.
- Este comportamiento ocurre si usa Edge como administrador de contraseñas.
- Microsoft dice que este comportamiento es una característica, no un error.
¿Utiliza Microsoft Edge para vigilar y gobernar las contraseñas de su sitio web? Si es así, un nuevo hallazgo plantea dudas sobre la seguridad de sus contraseñas almacenadas.
Un investigador de seguridad descubrió que Edge almacena sus contraseñas en texto plano en la memoria cuando usa el navegador para administrarlas. En una publicación en las redes sociales, el investigador Tom Jøran Sønstebyseter Rønning explicó cómo funciona el proceso y publicó un vídeo que lo muestra en obra.
Adicionalmente: un troyano abusa de la aplicación Microsoft Phone Link para robar sus contraseñas
«Cuando guardas contraseñas en Edge, el navegador descifra cada credencial al inicio y las mantiene residentes en la memoria del proceso», dijo Rønning. «Esto sucede incluso si nunca invitado un sitio que usa esas credenciales. Al mismo tiempo, Edge requiere que se vuelva a autenticar antiguamente de mostrar esas mismas contraseñas en la interfaz de agraciado del Administrador de contraseñas; sin bloqueo, el proceso del navegador ya las tiene todas en texto sin formato».
Microsoft lumbre al comportamiento una característica esperada
En GitHub, Rønning publicó el código que creó para detectar este comportamiento. Apodado EdgeSavedPasswordsDumper, el código demuestra que cualquier credencial almacenada por determinado que usa Microsoft Password Manager en Edge se portero en texto sin formato en la memoria del proceso de Edge.
En una manifiesto compartida con conectamentado, Microsoft reconoció este comportamiento, pero dijo que es una característica esperada y que representaría un peligro sólo si su dispositivo ya estaba comprometido.
«El paso a los datos del navegador como se describe en el decorado reportado requeriría que el dispositivo ya esté comprometido», dijo un portavoz de Microsoft en el comunicado. «Las opciones de diseño en esta dominio implican equilibrar el rendimiento, la usabilidad y la seguridad, y continuamos revisándolo frente a las amenazas en cambio. Los navegadores acceden a los datos de contraseña en la memoria para ayudar a los usuarios a iniciar sesión de forma rápida y segura; esta es una característica esperada de la aplicación. Recomendamos a los usuarios instalar las últimas actualizaciones de seguridad y software antivirus para ayudar a guarecerse contra las amenazas de seguridad».
Adicionalmente: es posible cambiar de administrador de contraseñas sin perder un solo inicio de sesión, y yo soy la prueba.
La afirmación de Microsoft de que su dispositivo ya debería estar comprometido parece ser cierta, al menos según las pruebas de Rønning. Como se muestra en un video, el proceso se friso en que un atacante ya haya comprometido una cuenta de agraciado con derechos administrativos, lo que luego le daría paso a la memoria de todos los procesos de agraciado que iniciaron sesión, con las contraseñas en texto plano visibles.
Rønning dijo que Edge es el único navegador basado en Chromium que ha probado que actúa de esta modo. Por el contrario, Google Chrome descifra las credenciales sólo cuando es necesario en ocasión de apoyar todas las contraseñas en la memoria en todo momento. El diseño de Chrome hace que sea mucho más difícil para un atacante extraer contraseñas guardadas simplemente leyendo la memoria del dispositivo, añadió Rønning. Hasta ahora, esta amor parece ser específica del Microsoft Password Manager utilizado en Edge.
«A pesar de que Edge está basado en Chromium, ningún de los otros navegadores basados en Chromium que he probado utiliza Microsoft Password Manager para acumular contraseñas y datos de autocompletar», dijo Rønning. «¿Y dudo que esté basado en Chromium?»
Adicionalmente: estas 5 configuraciones críticas de Windows Defender están desactivadas de forma predeterminada; actívelas lo antiguamente posible
Si Google puede proteger mejor su navegador para que no exponga contraseñas de texto sin formato en la memoria, ¿no debería Microsoft poder hacer lo mismo? En respuesta a la publicación de Rønning, otra persona dijo que las credenciales podrían almacenarse en la memoria en un formato criptográfico. Se descifrarían solo cuando fuera necesario iniciar sesión en un sitio web y luego se borrarían inmediatamente.
«Desde una perspectiva defensiva, acumular contraseñas en una memoria de texto claro viola los principios de privilegio leve, confianza cero y diseño de aplicaciones seguras», dijo a conectamentado Morey Poseer, asesor patrón de seguridad del proveedor de seguridad BeyondTrust. «Es simplemente una mala idea. Si una contraseña puede ser leída en la memoria por un proceso humano o zorro, ya no es un secreto protegido. En principio, ya está comprometida a través del almacenamiento de texto claro en un medio que ya es inseguro».
Errores de utilizar el administrador de contraseñas integrado de su navegador
A menos que Microsoft decida cambiar la forma en que funciona su administrador de contraseñas, ¿qué puede hacer si usa Edge como navegador predeterminado para gobernar sus contraseñas?
Mi consejo sería cambiar a un administrador de contraseñas de terceros dedicado. Sí, usar el administrador de contraseñas integrado de su navegador parece rápido y conveniente. Pero hay algunos obstáculos más allá de este final.
Si determinado obtiene paso a su PC o dispositivo móvil a través de su contraseña, PIN o código de paso, podría iniciar su navegador y utilizar el mismo método para ver sus contraseñas. Probé esto en una PC con Windows usando solo mi PIN y pude ceder a contraseñas de texto sin formato en Edge. Un buen administrador de contraseñas de terceros requiere una autenticación más sólida para ver sus contraseñas.
Adicionalmente: Los mejores administradores de contraseñas: probados por expertos
Un administrador de contraseñas integrado funciona solo con ese navegador específico. Puedes usar Edge como predeterminado, pero a veces puedes acogerse a Chrome o Firefox. En ese caso, sus contraseñas almacenadas no estarán disponibles. Utilizo Firefox, Chrome y Edge tanto a nivel personal como profesional, por lo que mis contraseñas deben ser accesibles en los tres.
Con suerte, Microsoft verá esto como una equivocación de seguridad y adoptará el mismo método utilizado en Chrome y otros navegadores para descifrar contraseñas sólo cuando sea necesario. Hasta entonces, desaconsejaría utilizar Edge como administrador de contraseñas.
