Dlaczego wygoda może być problemem bezpieczeństwa?

W sieci zrobiło się głośno o odkryciu norweskiego badacza bezpieczeństwa Toma Jørana Sønstebysetera Rønninga. Według jego testów Microsoft Edge po uruchomieniu przeglądarki ładuje zapisane hasła do pamięci procesu w formie jawnej. Co ważne - nie tylko hasło do strony, którą właśnie otwieramy, ale potencjalnie cały zapisany magazyn haseł. [żródło]

Brzmi groźnie?
Tak, ale warto wyjaśnić to uczciwie.

Nie jest to podatność typu „wchodzisz na złą stronę i ktoś z internetu automatycznie kradnie twoje hasła”. Aby taki scenariusz był możliwy, atakujący musiałby mieć już dostęp do komputera, złośliwe oprogramowanie na urządzeniu albo odpowiednie uprawnienia do odczytu pamięci procesu. Microsoft właśnie tym argumentuje swoje stanowisko - według firmy urządzenie musiałoby być wcześniej skompromitowane, więc nie jest to przekroczenie typowej granicy bezpieczeństwa.

Tylko że w praktyce firmowej to wcale nie jest mały problem.

W wielu firmach użytkownicy pracują na kontach z lokalnymi uprawnieniami administratora. Komputery bywają współdzielone. Zdalne pulpity, środowiska terminalowe, słabe hasła, brak MFA, nieaktualne systemy i przypadkowo zainstalowane „darmowe narzędzia” to codzienność, a nie teoria. W takim środowisku każde dodatkowe ułatwienie dla malware jest problemem.

Szyfrowane na dysku nie znaczy bezpieczne zawsze

Hasła zapisane w przeglądarce mogą być szyfrowane na dysku. To dobrze. Problem polega na tym, że aby przeglądarka mogła automatycznie wpisać hasło do formularza, musi je w pewnym momencie odszyfrować.

Pytanie brzmi: kiedy, na jak długo i ile haseł naraz?

Według opisów badacza Edge ma ładować do pamięci cały zestaw zapisanych haseł już po starcie przeglądarki. To właśnie ten element wzbudził największe kontrowersje. Malwarebytes zwraca uwagę, że podobne problemy z hasłami w pamięci nie są całkiem nowe, ale w przypadku Edge szczególnie dyskusyjne jest ładowanie całego magazynu haseł od razu. [żródło]

Co z tym zrobić?

Najprostsza rada: nie traktuj przeglądarki jak sejfu.

Do mniej ważnych kont zapisane hasła w przeglądarce mogą być wygodne. Ale do kont krytycznych - poczty firmowej, banku, panelu hostingu, domen, Microsoft 365, Google Workspace, systemów ERP, paneli administracyjnych czy kont właścicielskich - lepiej używać osobnego menedżera haseł.

Warto też:

• włączyć MFA wszędzie, gdzie to możliwe,
• ograniczyć lokalne prawa administratora,
• blokować komputer po odejściu od biurka,
• aktualizować system i przeglądarki,
• nie instalować przypadkowego oprogramowania,
• nie przechowywać firmowych haseł w profilu przeglądarki na współdzielonym komputerze.

Najważniejszy wniosek

To nie jest koniec świata i nie trzeba jutro wyrzucać Edge z każdego komputera.

Ale to dobry moment, żeby przypomnieć jedną rzecz: cyberbezpieczeństwo bardzo często przegrywa nie z genialnym hakerem, tylko z wygodą.

Autouzupełnianie haseł jest wygodne.
Zapisywanie wszystkiego w przeglądarce jest wygodne.
Praca na koncie administratora jest wygodna.

A potem okazuje się, że wygoda była najkrótszą drogą do przejęcia konta.

Przeglądarka służy do przeglądania internetu.
Hasła do najważniejszych usług lepiej trzymać w prawdziwym menedżerze haseł