Microsoft Edge hält alle Passwörter in Klartext im Speicher

Microsoft Edge hält alle deine gespeicherten Passwörter im Klartext im Arbeitsspeicher. Das klingt auf den ersten Blick nach einer Katastrophe und die Schlagzeilen überschlagen sich gerade. Aber bevor man in Panik verfällt, lohnt sich ein genauerer Blick.

Threat Modell

Damit jemand diese Passwörter tatsächlich auslesen kann, muss die Schadsoftware in der Lage sein, zufällige Speicherbereiche frei auf dem Computer zu adressieren. Das bedeutet: Der Angreifer hat bereits Admin-Zugriff auf deinen Rechner. Er kann frei im Speicher lesen, beliebige Programme starten, einen Debugger anhängen. An diesem Punkt könnte er auch verschlüsselte Passwörter über den Debugger einfach entschlüsseln. Sobald ein Angreifer Admin-Level-Zugriff auf ein System hat, ist es Game Over — nicht nur für Edge, sondern für alle Chromium-basierten Browser und jede Menge anderer Software. Deshalb ist es auch so wichtig, dass Ihr physischen Zugriff auf eure Devices verhindert.

Das heißt nicht, dass Microsoft hier alles richtig macht. “By design” ist eine unbefriedigende Antwort auf den berechtigten Hinweis eines Sicherheitsforschers. Und “Defense-in-Depth” gilt natürlich weiterhin. Aber das eigentliche Problem ist, dass man dann bereits auf der falschen Seite der Luftschleuse steht und im Vorhinein schon viele Fehler gemacht wurden.

Generell: Besser einen Passwortmanager nutzen

Mein Rat: Speichert eure Passwörter grundsätzlich nicht im Browser, egal welchen ihr nutzt. Nutzt einen dedizierten Passwort-Manager wie das Open-Source-Tool KeePass. Solche Software ist genau für einen Grund entwickeln worden: sie schützt eure Passwörter gezielt und KeePass bietet zudem eine tolle Möglichkeit, Passwörter automatisiert und sicher einzugeben.