Edge speichert Passwörter im Klartext und Microsoft nennt es Design

[Caramon2]

https://www.tweakpc.de/news/51686/e...er-im-klartext-und-microsoft-nennt-es-design/

Obwohl Microsoft den integrierten Passwortmanager als stark verschlüsselt bewirbt, zeigt eine neue Analyse, dass Edge sämtliche gespeicherten Passwörter im Klartext in den Arbeitsspeicher lädt, sobald der Browser gestartet wird. … Besonders kritisch: Edge entschlüsselt nicht nur Passwörter, die während der Sitzung genutzt werden, sondern grundsätzlich alle gespeicherten Einträge.
Selbst ein Benutzerwechsel auf demselben PC lässt die Passwörter im RAM zurück, solange Edge nicht vollständig geschlossen wurde.

Ich verstehe das so: Wenn man sich zwar abmeldet, aber alles offen lässt, um dort später weiterzumachen. Der andere meldet sich in sein Konto an, kann aber auf das, was vom anderen Konto noch im RAM ist zugreifen.

Gefährlicher sich wahrscheinlich aber eher irgendwelche Applets, die der Browser beim normalen surfen untergejubelt bekommt.

Die Schwachstelle ist nicht neu, bereits 2022 meldete ein Forscher das gleiche Verhalten. Microsoft bestätigte nun erneut, dass das Verhalten "by design" sei und keine Änderungen geplant sind.

Das ist also die viel beworbene "bewährte Microsoft Qualität".

Wie gewohnt werden die ihren dilettantischen Pfusch erst korrigieren, wenn genug deswegen auf die Barrikaden gehen.

Wozu sich auch anstrengen? Die Leute kaufen Windows ja trotzdem…

 

[Zer0DEV]

Getreu dem Motto: Security by Obscurity

Edge kannste nicht benutzen wegen Microsoft (u.a. Copilot und der Mist hier).
Chrome kannste nicht benutzten, weil Google (u.a. der Adblocker-API-Limitierung, dem 4GB KI-Modell Download)
Firefox kannste nicht benutzten weil die Mozilla Foundation auf irgendeinem Tripp hängen geblieben ist und alles, wirklich alles, versucht den Firefox so benutzerunfreundlich wie möglich zu machen (und damit meine ich nicht die Benutzer, die: Browser öffnen, Seite aufsuchen, Browser schließen machen).

 

[cvzone]

Das Thema kam mir bekannt vor. Daher mal eine Antwort vom Proton Service auf den gleichen Vorwurf gegenüber Proton Pass. https://www.reddit.com/r/ProtonPass...ss_login_data_is_stored_unencrypted_in/?tl=de

Alle Passwort-Manager speichern Daten unverschlüsselt im Speicher. Du kannst die Daten im Speicher nicht verschlüsseln, weil die Anwendung die Daten sonst nicht verwenden kann, während sie läuft. Das ist ein universelles Problem für Passwort-Manager und nichts, was man beheben kann.

Obwohl du die Daten verschleiern kannst, ist das eigentlich nur Security-Theater, weil es trivial ist, die Verschleierung rückgängig zu machen. In Zukunft wird Proton Pass das vielleicht auch machen, aber es erhöht die Sicherheit nicht wirklich.

Wenn du die PIN-Sperre aktivierst, werden die Daten lokal verschlüsselt und aus dem Speicher gelöscht, wenn die PIN-Sperre aktiviert wird. Der Sicherheitsvorteil davon im Falle eines kompromittierten Geräts ist wahrscheinlich gering, da Malware auf einem Gerät in der Lage wäre, den PIN zu keyloggen und ihn auf diese Weise zu umgehen. Die PIN-Sperre kann jedoch auf einem gemeinsam genutzten Gerät wünschenswert sein (obwohl jemand mit Zugriff auf das gemeinsam genutzte Gerät auch einen Keylogger installieren könnte...).

In der vorherigen Version von Proton Pass konnte es nach der PIN-Sperre bis zu 30 Minuten dauern, bis die Daten aus dem Speicher gelöscht wurden, während die neue Version sie sofort löscht. Früher ging es sofort, aber eine Code-Regression hat es auf bis zu 30 Minuten zurückgesetzt, aber das wurde jetzt behoben. Im Allgemeinen würden wir aus den zuvor erläuterten Gründen den Leuten nicht raten, sich auf die PIN zu verlassen, um sich vor Malware oder gemeinsam genutzten Geräten zu schützen, und deshalb ist die PIN nicht standardmäßig aktiviert, da der Sicherheitsvorteil wahrscheinlich gering ist.

Übrigens, um das überhaupt ausnutzen zu können, müsste jemand Zugriff auf das Gerät und die Möglichkeit haben, auf den Gerätespeicher zuzugreifen, in welchem Fall die PIN nicht effektiv sein wird, weil das Gerät bereits kompromittiert ist. Leider geht der Schutz vor dieser Art von Gerätekompromittierung über den Rahmen von Proton Pass (oder jedem anderen Passwort-Manager) hinaus.

 

[JennyCB]

Die Leute kaufen Windows ja trotzdem…

Die Masse bekommt das beim Rechnerkauf (Desktop/Notebook) mit serviert.

 

[Sensei21]

Also besonders Passwortmanager sollten sowas wie "init on alloc" und "init on free" machen oder sogar zero in jeder Funktion, Schritt, etc. wo man Daten nicht weitertragen muss

offensichtlich ist es wohl nur auf Einfachheit - oder euphemistischer formuliert auf "Performanz" optimiert

 

[Tornhoof]

Also besonders Passwortmanager sollten sowas wie "init on alloc" und "init on free" machen oder sogar zero in jeder Funktion, Schritt, etc. wo man Daten nicht weitertragen muss

Das nützt alles nicht für den Angriffsvektor wo du Zugriff aufs laufende System hast und das ist der Vektor den MS hier betrachtet, sobald der Angreifer Zugriff auf den Arbeitsspeicher im laufenden System hat, gehört ihm das System, da helfen auch deine Vorschläge nicht weiter. Ist praktisch der gleiche fall wie bei dem Passwort-Manager.

 

[Serana]

Ja okay, daß ist ein sehr unschönes Verhalten und kann natürlich zu einem Sicherheitsproblem werden.

Auf der anderen Seite muß ich aber auch sagen. Wenn ich anfange einen im Webbrowser (ob nun Edge, Firefox oder andere) fest integrierten Passwortmanager zu benutzen, dann muß in meinem Kopf schon vorher soviel schiefgelaufen sein, daß es darauf dann auch nicht mehr ankommt.

Ich bin da auch etwas abergläubisch veranlagt.

Passwortmanager und Browser haben zusammen in einem Programm nichts verloren. Ich benutze lieber mehrere Programme die jeweils eine definierte Aufgabe haben und diese dann auch gut erfüllen, als ein total bequemes und benutzerfreundliches Programm das alles kann, aber dann halt im Zeichen dieser Bequemlichkeit irgendwo Abstriche machen muß.

 

[SSD960]

Die Leute kaufen Windows ja trotzdem

Also ich habe seit Windows 7 keine Lizenz mehr gekauft.

 

[Hypothek]

Das ist wohl ein Chromium Problem und nicht nur Edge:
https://www.heise.de/forum/heise-on...in-reines-Edge-Problem/posting-46234356/show/

Nebenbei:
Aber das Problem mit Passwörtern im Klartext gibt es an vielen Stellen.
Auch über den Zwischenspeichern bei Smartphones mit iOS oder Android mit dieser Problematik wurde schon berichtet. Also nicht nur Microsoft behandelt Passwörter schlecht.

 

[SSD960]

Ich benutze lieber mehrere Programme die jeweils eine definierte Aufgabe haben

Richtig. Auch der zweite Faktor hat im PW Manager nichts zu suchen. Such hierfür eine separate Software .

 

[Tornhoof]

Einigen wir uns alle drauf dass wir alle Passkeys einsetzen werden und hoffen dass Passwörter aussterben

 

[Serana]

@Zer0DEV
Bleibt dann nur das Problem welchen Browser man jetzt eigentlich benutzen soll. Ich sage damit nicht, daß du unrecht hast, aber ganz offensichtlich bleibt wohl nur die ganz persönliche Entscheidung wo man das kleinere Übel sieht.

Ich mache es mittlerweile so, daß ich zwei verschiedene Browser einsetze. Edge für den Alltag und Firefox für die etwas "fragwürdigen" Sachen. Und ja, mir ist bewußt, daß ich Microsoft für die Bequemlichkeit eines zentral verwalteten Browserprofils mit meinen Daten bezahle.

Ich habe mich an der Front der persönlichen Daten aber inzwischen zu einer gewissen Gleichgültigkeit entschieden. Wer im Netz unterwegs ist hat heute so viele verschiedene Accounts und hinterläßt so viele Datenspuren, daß das gar nicht mehr wirklich zu kontrollieren ist. Klar, man könnte auf alle möglichen Annehmlichkeiten verzichten, in Onlineshops nur als Gast mit einer einmaligen und zeitlich beschränkten Wegwerfemail-Adresse aus einem privaten Browserfenster heraus bestellen und auch ansonsten nach dem Prinzip leben "Alleine die Tatsache, daß du paranoid bist bedeutet noch lange nicht, daß SIE nicht hinter dir her sind.", aber ich habe entschieden, daß mir das zu anstrengend ist.

Das bedeutet nicht, daß ich meine Datenspuren ohne Rücksicht auf Verluste überall verstreue, aber ich mache mich auch nicht mehr verrückt.

 

[tollertyp]

Etwas in den RAM schreiben ist aber nicht "speichern".
Ich nenne es Clickbait.

Warum kann man sich gerade bei Sicherheitsthemen nicht exakt äußern?

Ergänzung (Heute um 13:02)

Passwortmanager und Browser haben zusammen in einem Programm nichts verloren. Ich benutze lieber mehrere Programme die jeweils eine definierte Aufgabe haben und diese dann auch gut erfüllen, als ein total bequemes und benutzerfreundliches Programm das alles kann, aber dann halt im Zeichen dieser Bequemlichkeit irgendwo Abstriche machen muß.

Sehe ich auch ähnlich. Im Grunde kann ich binnen Minuten meinen Browser wechseln, ohne wirklich auf Komfort zu verzichten, weil meine Passwörter eben nicht im Browser gespeichert sind, und meine Bookmarks ebenfalls Browser-unabhängig synchronisiert werden.

 

[Hypothek]

@Serana
Im Umkehrschluss musst du möglichst viele deiner Daten streuen, um die wirklich relevanten Daten besser schützen zu können. Und wenn du die Daten mit Fake-Daten kombinierst, ergibt sich ein schönes Halbwahrheiten-Profil.

Wer meint, dich vollständig analysiert zu haben, weil du deine Daten in der großen Breite verteilst, wird von typischen Laien ausgehen.

Sorgen solltest du dir erst machen, wenn du die Folgen schlüssig begründen kannst.
Klassischerweise müsstest einen gewissen Status haben (Politiker, CEO, öffentliche Person, Entscheidungsbefugnis, Zugangsbefugnis, etc.) und/oder bestimmten Berufsgruppen zugehören (Journalist, Jurist, Militär, Geheimdienst, etc.).
Ein Bäcker, dessen Fortnite Passwort gestohlen wurde, wird zu den weniger wertvollen Datensätzen gehören.

Ich handhabe es aber ähnlich wie du.

• Für 0815 Internet habe ich einen Browser
• für "wichtigere" Dinge, wie Online Banking, Shopping, einen anderen
• und für berufliche Dinge wieder einen anderen

Abgesehen von der relativen Trennung der Datensätze, ergeben sich sichtbare Komfortfunktionen. Und durch unterschiedliche Profile, werden auch die Ergebnisse in den Suchmaschinen anders / besser angezeigt.

 

[Zer0DEV]

@Serana Ja, das Problem der Browserwahl ist eines was so leicht nicht gelöst werden kann.

Ich habe Mozilla Firefox ESR, Vivaldi, LibreWolf und Chromium (Ungoogled), welche ich je nach Einsatzzweck verwende.

 

[Caramon2]

Ich mache es mittlerweile so, daß ich zwei verschiedene Browser einsetze. Edge für den Alltag und Firefox für die etwas "fragwürdigen" Sachen.

Brave soll schon mit den Standardeinstellungen einer der sichersten Browser sein:

Browser-Vergleich 2026: Welcher schützt deine Daten WIRKLICH

 

[Snapuman]

Firefox kannste nicht benutzten weil die Mozilla Foundation auf irgendeinem Tripp hängen geblieben ist und alles, wirklich alles, versucht den Firefox so benutzerunfreundlich wie möglich zu machen (und damit meine ich nicht die Benutzer, die: Browser öffnen, Seite aufsuchen, Browser schließen machen).

Benutzerunfreundlich? Hä.. auf welchem Trip bist du denn hängen geblieben?
Nein ernsthaft - was genau meinst du damit?

Würde mich wohl durchaus als Poweruser bezeichnen (Browser läuft IMMER, regelmäßig 100-300 Tabs offen + ca. 40 Addons in Benutzung) und bin seit dem manifestV3 bedingtem Umstieg seit etwa 'nem Jahr jetzt zurück auf FF als Main-Browser auf Windows+Android (vorher war es Vivaldi+Chrome).
Ich wüsste nicht worüber ich mich bei FF beschweren sollte/könnte - tut was es soll, Synct, läuft alles tutti, stabil, perfomant... absolut keine Probleme.

Unter Win daneben grad noch Floorp (Gecko Engine wie FF) + Helium ("Ungoogled Chromium") als zweit-browser und unter Android tatsächlich immer noch Chrome™ für schnelle Sachen weil der da einfach zu tief ins System verzahnt ist...

 

[Krik]

Wer im Netz unterwegs ist hat heute so viele verschiedene Accounts und hinterläßt so viele Datenspuren, daß das gar nicht mehr wirklich zu kontrollieren ist.

Da widerspreche ich. Ich habe ziemlich gut unter Kontrolle, wo ich welche Daten hinterlasse. Ich verzichte aber auf Google, Meta & Co. Ich habe noch einen alten MS-Account, aber den behalte ich nur, falls da doch noch mal eine wichtige Mail reinkommt (die auf meine Hauptmail weitergeleitet wird).

Man Ich kann so perfekt leben.

aber ich habe entschieden, daß mir das zu anstrengend ist.

Schade.

 

[AwesomSTUFF]

Also ich habe bis Anfang der Woche EDGE benutzt und kann das nicht bestätigen. Selbst an meinem PC zu Hause muss ich jedes Mal wenn ich in den Passwortmanager will mich verifizieren. Klar wenn man seinen PC offen stehen lässt kann sich jemand der rangeht natürlich einloggen wenn das Automatische Ausfüllen an ist. Geht imho aber auch bei Chrome etc. Wer kein 2FA nutzt dem ist ohnehin nicht mehr zu helfen.

TL;DR
Brauchte die Woche nen anderen Browser weil ich was testen wollte. Hab dann einfach Mal Vivaldi (@Serana ) genommen...werd jetzt alles darauf umstellen. Der ist ja MEGA Und halt EU/DSGVO usw.
Ein weiterer Schritt - ich stelle seit paar Wochen nach und nach alles auf EU basierte Dienste um. Clouds (OneDrive/Google) werden auf Nextcloud in Deutschlang gehostet gestellt. Mail Umstellung schieb ich noch ein bisschen vor mir her...bis April 2027 will ich durch sein. Dann wird nur noch das "Nötigste" an die Amis geschickt.

Es ist keinen Frage des Könnens (in Zeiten von KI Assistenten schon gar nicht) - es ist ausschließlich eine Frage des Wollens.