Nu vind ik het verstandiger om geen wachtwoorden op te slaan in de browser, en als het niet anders kan dan Firefox te gebruiken. Het zal je maar gebeuren dat malware, zoals een info-stealer in je systeem weet te dringen, en al je wachtwoorden steelt. Niet bepaald een prettige gedachte!

Jep dat schijnt een leuke conferentie geweest te zijn toen Tom Jøran Sønstebyseter Rønning het aantoonde bij Palo Alto we zagen het nieuws bericht al vroeg langs komen. Was zelf druk met CVE's maar hoorde goed gevloek in collega chat group.

Wel belangrijke nuance ze staan clear text in geheugen maar niet op de storage dat gaat via DPAPI en daar is het dus wel beveiligd. Maar alsnog bad design puur voor performance en sync winst. En dan hebben we het niet over een performance verlies van zoals by heartbleed maar een fractie van 10 tot 50 milliseconden give or take zover ik heb gehoord. En het scheelt in code voor implementatie weg van de minste weerstand wie kent het niet.

En ik vewacht dit absoluut in 2026 en ik verwacht nog vele malen meer aan meldingen de komende maanden nu AI los gelaten wordt op gros van software. Ga maar uit van dev backdoors plaintext opslag wachtwoord info in comments in een bestand ergens diep verborgen en allerlei andere low effort sht gebasseerd op 20 + jaar tech debt van bedrijven.

En waar staat de sleutel voor de symmetrische AES encryptie die gebruikt is in Firefox? Die staat ook in het geheugen van het Firefox proces. Zoek de twee bij elkaar en je kan alsnog bij alle wachtwoorden. AES is alleen nuttig als de wachtwoorden at-rest versleuteld zijn op de harddisk. Scheelt ook in je geheugengebruik van het Firefox proces.

Ik weet niet meer precies hoe het zat bij PGP voor Windows vroeger, maar daar werd je wachtwoord steeds verplaatst voor een reden die ik nu vergeten ben. Dat was het beste wat ze konden doen.

Waar je echt voor uit moet kijken is de swapfile van je besturingssysteem. Dat is echt einde oefening als je wachtwoord daarin opgeslagen staat.

Ik heb de source code op https://github.com/L1v1ng0ffTh3L4N/EdgeSavedPasswordsDumper gecompileerd en uitgevoerd als local admin. Maar dit wordt keurig door Defender ASR geblokkeerd

De opmerking is technisch correct binnen een specifiek dreigingsmodel, maar te simplistisch als algemene conclusie.

Hoe Mozilla Firefox met wachtwoorden omgaat:

Op de schijf: Wachtwoorden worden versleuteld opgeslagen. De sleutel zit in de NSS-database. In rust (niet actief gebruikt) is het niet leesbaar zonder toegang tot de key en eventueel een master password.

De nuance zit in het geheugen:
Wanneer Firefox een wachtwoord moet invullend of tonen, wordt het wachtwoord tijdelijk ontsleuteld in het RAM. Dat betekent, dat het kortstondig als plain text in het geheugen staat. Maar dit is nodig om het formulier daadwerkelijk in te vullen. Dit gedrag is niet uniek, want andere browsers doen het zelfde.

Is het een probleem?
Alleen onder specifieke omstandigheden als een aanvaller al toegang tot je systeem heeft (malware, root acces), of een memory dump kan maken. Dan zou het theoretisch wachtwoorden kunnen uitlezen. Maar in zo'n geval heb je al te maken met een compromittering van je systeem. Dit is geen Firefox lek, maar een algemeen OS/Security model.

Je kunt het risico verkleinen, door in Firefox een Master Password te gebruiken. Hierdoor wordt een extra encryptielaag toegevoegd. Je kunt het risico verder kleiner maken door op OS-level de beveiliging van disk encryption en een screen lock toe te passen. Verder mag malware geen kans krijgen om binnen te dringen.

Helaas bestaat er praktisch gezien geen manier om een wachtwoord in te vullen zonder dat het in leesbare vorm in het RAM verschijnt.