Обновлено 18 мая 2026 г.: Изначально Microsoft заявляла, что хранение паролей в открытом виде — это «преднамеренное дизайнерское решение», однако теперь компания изменила свою позицию. Начиная с версии Edge 148 браузер больше не будет хранить все пароли в незашифрованном виде.
Оригинальная статья от 5 мая 2026 г.: Если вы склонны сохранять пароли в браузере, вам следует быть осторожнее. Исследователь безопасности из Норвегии обнаружил серьезную уязвимость в Microsoft Edge, которая заключается в том, что пароли хранятся в памяти в виде простого текста, как показано в этом посте в социальной сети.
Любой вредоносный пользователь с локальным доступом мог бы легко перехватить все ваши сохраненные пароли, даже если они не использовались в течение текущей сессии. Злоумышленники могли просто извлечь и скопировать их в открытом виде. В видео Том Йоран Сёнстебюсетер Рённинг демонстрирует это в действии:
Серьезный недостаток в менеджере паролей Edge
Уязвимость затрагивает менеджер паролей Microsoft Edge. Менеджеры паролей обычно используют сквозное шифрование и хранят пароли в облачном хранилище, чтобы пользователи могли получать к ним доступ из любого места. Когда пароли требуются, менеджеры паролей обычно расшифровывают их для использования, а затем удаляют.
Тот факт, что Edge хранит все пароли загруженными без какого-либо шифрования, является одновременно необычным и опасным. Другие менеджеры паролей, включая встроенные в браузеры, не работают таким образом — Рённинг утверждает, что Edge — единственный браузер на базе Chromium, который он тестировал с таким поведением.
Edge требует аутентификации для просмотра паролей в менеджере паролей, но это имеет небольшую защитную ценность, если злоумышленники могут просто получить доступ, считывая оперативную память (RAM), что и происходит в данном случае.
Это преднамеренно или ошибка?
Рённинг, по-видимому, поделился своими находками с Microsoft и получил неожиданный ответ. Согласно ITavisen (машинный перевод), поведение управления паролями в Edge — это «преднамеренное дизайнерское решение», а не ошибка. Неясно, какую пользу это решение приносит пользователям.
Рённинг решил предупредить пользователей о том, как это работает, и также планирует опубликовать свой собственный инструмент на GitHub, который любой пользователь сможет использовать для проверки того, хранятся ли его пароли Edge в открытом виде.
Если вы используете Edge и у вас сохранены пароли в браузере, вам следует перейти на другой, действительно безопасный менеджер паролей, а затем удалить все свои пароли из Edge. Если вы не знаете, с чего начать, ознакомьтесь с рекомендациями PCWorld по лучшим менеджерам паролей.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Laura Pippig
