Und gleich noch ein Verweis auf einen Beitrag von heise.de, dessen Überschrift ich für Clickbait gehalten habe.
Microsoft Edge: Passwörter landen als Klartext im Speicher
Sowas kann unmöglich stimmen, war mein erste Gedanke. Auch wenn ich Edge für unsicher halte und selbst nicht verwende.
Nur die Überschrift von Heise stimmt nachweisbar. Ein Screenshot im Beitrag zeigt die Sache und eine Anleitung, wie man an verschlüsselte Passworte in Edge bzw. dessen Passwort-Manager kommt. Obwohl Microsoft Edge eine Authentifizierung mit Windows Hello fordert, was aber leicht umgangen werden kann.
Nach dem Beitrag stand für mich fest:
Ich fasse es nicht!
Dann habe ich aber nochmal ins Forum geschaut. Interessant sind die dortigen Diskussionen zu der Sicherheitslücke. Es gibt Uneinigkeit, ob und wie weit das ein echtes Problem bzw. eine Sicherheitslücke ist und ob es sich um Microsoft-Bashing handelt und auch andere Systeme/Browser von sowas betroffen sind.
Diese Diskussionen haben mich auch wieder zum Nachdenken gebracht. Unbestritten wird Anwendern über den Edgs-Passwort-Mangager und die Authentifizierung mit Windows Hello eine falsche Sicherheit vorgespielt. Das Sicherheitskonzept rund um Edge und dessen Passwort-Manager ist fehlerhaft. Aber auch andere Passwort-Manager von Browsern gelten nicht uneingeschränkt als sicher. Ebenso muss grundsätzlich im Hauptspeicher ein Passwort irgendwann in aufgelöster Form vorliegen, um es überhaupt verwenden zu können. Das Problem ist der Dump. Was widerum dazu führt, dass ein Angreifer erst einmal ausreichend Zugriff auf den Rechner haben muss.
Ich ziehe mein persönliches Fazit, dass echte Passwort-Manager den integrierten Passwort-Managern von Browser allgemein vorzuziehen sind und Edge für mich sowieso keine Option ist, aber es meist schon etwas Aufwand für Angreifer bedeutet, die Lücken und Schwächen in dem Browser produktiv auszunutzen.