Ako čuvate svoje lozinke u Microsoft Edgeu, postoji nešto što biste trebali znati. Svaki put kada otvorite preglednik, Edge dešifruje sve sačuvane lozinke i učitava ih u memoriju kao običan tekst (cleartext), gdje ostaju tokom cijele sesije. To znači da vaše lozinke mogu biti nezaštićene u memoriji uređaja čak i ako nikada ne posjetite stranice kojima pripadaju.
Sigurnosni istraživač Tom Rening otkrio je ovakvo ponašanje i prijavio ga Microsoftu. Međutim, kompanija je odgovorila da je takvo ponašanje „po dizajnu“, odnosno da je namjerno implementirano na taj način.
Microsoft Edge je zasnovan na Chromiumu, istoj open-source osnovi koju koristi i Google Chrome. Ipak, Chrome lozinke tretira drugačije. On ih dešifruje samo kada su zaista potrebne, na primjer tokom automatskog popunjavanja podataka (autofill).
Chrome također koristi funkciju nazvanu Application-Bound Encryption, koja povezuje ključeve za dešifrovanje sa autentifikovanim Chrome procesom, što napadačima znatno otežava izvlačenje lozinki iz memorije. Microsoft Edge ne koristi takvu zaštitu.
Microsoft tvrdi da ovakav način rada postoji kako bi korisnicima omogućio bržu prijavu, te navodi da bi iskorištavanje ovog propusta zahtijevalo da napadač već ima administratorski pristup uređaju.
Sigurnosni stručnjaci uglavnom se slažu da administratorski pristup praktično znači potpunu kompromitaciju sistema, bez obzira na preglednik koji koristite. Ipak, stručnjaci za sajber sigurnost upozoravaju da moderni infostealer malveri upravo ciljaju trenutke između šifrovanog skladištenja i izloženosti podataka tokom rada sistema, zbog čega lozinke u običnom tekstu predstavljaju ozbiljan rizik.
Savjet stručnjaka je jasan bez obzira na to koji preglednik koristite, nemojte čuvati lozinke direktno u browseru. Umjesto toga, preporučuje se korištenje namjenskog password managera za sigurnije upravljanje lozinkama.