Nieuws
image

Microsoft Edge bewaart wachtwoorden onversleuteld in geheugen

woensdag 6 mei 2026, 13:55 door Redactie, 8 reacties

Microsoft Edge bewaart wachtwoorden onversleuteld in het geheugen van het systeem, ook als ze niet in gebruik zijn. Dat meldt de Noorse beveiligingsonderzoeker Tom Jøran Sønstebyseter Rønning op X. Alle in Edge opgeslagen wachtwoorden worden automatisch tijdens het opstarten van de browser ontsleuteld in het procesgeheugen opgeslagen. "Dit gebeurt zelfs als je nooit een site bezoekt die van die inloggegevens gebruikmaakt", aldus de onderzoeker.

Gebruikers moeten zich echter wel authenticeren om de wachtwoorden in de wachtwoordmanager van de browser te bekijken. "Terwijl het browserproces ze al in plaintext heeft", voegt de onderzoeker toe. Rønning stelt dat andere op Chromium-gebaseerde browsers, zoals Google Chrome, dit gedrag niet te vertonen. De onderzoeker rapporteerde het probleem aan Microsoft, maar het techbedrijf liet weten dat dit gedrag "by design" is, aldus Rønning. Die heeft inmiddels ook een tool gepubliceerd waarmee wachtwoorden uit het procesgeheugen van Edge zijn te lezen.

Reacties (8)
Reageer met quote
Vandaag, 14:21 door Anoniem
"by design" die dooddoener heeft MS vaak. Maar zijn er echt nog gebruikers die Edge gebruiken? ;-)
Reageer met quote
Vandaag, 14:23 door Anoniem
https://xcancel.com/L1v1ng0ffTh3L4N/status/2051308329880719730
Reageer met quote
Vandaag, 14:39 door Anoniem
De onderzoeker rapporteerde het probleem aan Microsoft, maar het techbedrijf liet weten dat dit gedrag "by design" is,

En daar mag de argeloze eindgebruiker het mee doen. Doet mij denken aan de "by design" handgrepen op Tesla's.

Het interesseert de groot kapitalisten op deze door hen verziekte aardbol allemaal geen ene moer, of het nu wachtwoorden zijn die ongescrambled ter beschikking staan, of handgrepen van autodeuren waar hulpverleners geen raad mee weten als de zaak in de fik staat....Boeie! Winst, winst en nog eens winst is het enige dat telt in hun geschifte bekrompen wereldje.
Reageer met quote
Vandaag, 15:34 door Anoniem
Nog meer Microslop vibe-coding, lol!
Good lord...
Reageer met quote
Vandaag, 15:52 door Anoniem
Door Anoniem: "by design" die dooddoener heeft MS vaak. Maar zijn er echt nog gebruikers die Edge gebruiken? ;-)
Edge is in de laatste jaren flink verbeterd, ik gebruik meerdere browsers, maar Edge is wel mijn standaard.
Hoewel ik nooit wachtwoorden op sla, want het trucje via inspecteren kennen we ook al jaren.
Reageer met quote
Vandaag, 16:11 door meidoorn - Bijgewerkt: Vandaag, 16:16
Hoe Mozilla Firefox met wachtwoorden omgaat:

Op de schijf: Wachtwoorden worden versleuteld opgeslagen. De sleutel zit in de NSS-database. In rust (niet actief gebruikt) is het niet leesbaar zonder toegang tot de key en eventueel een master password.

De nuance zit in het geheugen:
Wanneer Firefox een wachtwoord moet invullend of tonen, wordt het wachtwoord tijdelijk ontsleuteld in het RAM. Dat betekent, dat het kortstondig als plain text in het geheugen staat. Maar dit is nodig om het formulier daadwerkelijk in te vullen. Dit gedrag is niet uniek, want andere browsers doen het zelfde.

Is het een probleem?
Alleen onder specifieke omstandigheden als een aanvaller al toegang tot je systeem heeft (malware, root acces), of een memory dump kan maken. Dan zou het theoretisch wachtwoorden kunnen uitlezen. Maar in zo'n geval heb je al te maken met een compromittering van je systeem. Dit is geen Firefox lek, maar een algemeen OS/Security model.

Je kunt het risico verkleinen, door in Firefox een Master Password te gebruiken. Hierdoor wordt een extra encryptielaag toegevoegd. Je kunt het risico verder kleiner maken door op OS-level de beveiliging van disk encryption en een screen lock toe te passen. Verder mag malware geen kans krijgen om binnen te dringen.

Helaas bestaat er praktisch gezien geen manier om een wachtwoord in te vullen zonder dat het in leesbare vorm in het RAM verschijnt.
Reageer met quote
Vandaag, 16:28 door linuxpro
Het is en blijft rommel wat ze maken. Dit is gewoon een ontzettend stomme ontwerpfout.
Reageer met quote
Vandaag, 16:31 door Anoniem
Door meidoorn: Hoe Mozilla Firefox met wachtwoorden omgaat:

Op de schijf: Wachtwoorden worden versleuteld opgeslagen. De sleutel zit in de NSS-database. In rust (niet actief gebruikt) is het niet leesbaar zonder toegang tot de key en eventueel een master password.

De nuance zit in het geheugen:
Wanneer Firefox een wachtwoord moet invullend of tonen, wordt het wachtwoord tijdelijk ontsleuteld in het RAM. Dat betekent, dat het kortstondig als plain text in het geheugen staat. Maar dit is nodig om het formulier daadwerkelijk in te vullen. Dit gedrag is niet uniek, want andere browsers doen het zelfde.

Is het een probleem?
Alleen onder specifieke omstandigheden als een aanvaller al toegang tot je systeem heeft (malware, root acces), of een memory dump kan maken. Dan zou het theoretisch wachtwoorden kunnen uitlezen. Maar in zo'n geval heb je al te maken met een compromittering van je systeem. Dit is geen Firefox lek, maar een algemeen OS/Security model.

Je kunt het risico verkleinen, door in Firefox een Master Password te gebruiken. Hierdoor wordt een extra encryptielaag toegevoegd. Je kunt het risico verder kleiner maken door op OS-level de beveiliging van disk encryption en een screen lock toe te passen. Verder mag malware geen kans krijgen om binnen te dringen.

Helaas bestaat er praktisch gezien geen manier om een wachtwoord in te vullen zonder dat het in leesbare vorm in het RAM verschijnt.
Geldt dit niet voor alle browsers dat het kortere of langere tijd in het geheugen staat?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components