如果你使用 Microsoft Edge 瀏覽器來儲存與管理網站密碼,那麼現在應能更加安心,因為你的密碼將獲得更好的安全防護,更能減少資安風險。
Microsoft Edge 安全團隊主管 Gareth Evans 日前在一篇官方部落格文章宣布,微軟不再以明文形式將使用者密碼儲存在 Microsoft Edge 的記憶體中,以回應近期資安研究人員提出的質疑。
「我們不再於啟動時將密碼載入記憶體中」,Gareth Evans 在官方部落格文章指出,「這項縱深防禦的變更將套用到每一個獲得支援的 Edge 版本(Stable、Beta、Dev、Canary,以及供我們企業客戶使用的 Extended Stable 管道),我們也在優先推動這項變更的部署。這項變更目前已在 Edge Canary 上線,並包含在所有 Edge 版本下一次更新中(Build 148 及更新版本)。」
回到事件之初,一名資安研究人員 Tom Jøran Sønstebyseter Rønning 發現,當使用 Microsoft Edge 管理密碼時,它會以明文形式將密碼儲存在記憶體中。他在社群平台貼文上傳一段實際運作的影片,並說明此一過程的運作方式。
「當你在 Edge 儲存密碼時,瀏覽器會在啟動時將每一筆憑證解密,並讓它們常駐在處理程序的記憶體中。」Tom Jøran Sønstebyseter Rønning 表示,「即使你從未造訪過任何使用該憑證的網站,這種情況仍會發生。同時,當你想在密碼管理器查看這些密碼時,Edge 也會要求你重新進行身分驗證,但瀏覽器的處理程序其實早已將這些密碼以明文形式全部保留下來。」
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
微軟提供給外媒 ZDNET 的聲明承認此一行為確實存在,但表示這是一項預期之內的功能,只在你的裝置遭到入侵的狀況下才會構成風險。
「這方面的設計選擇涉及效能、易用性及安全性之間的平衡,我們也持續針對不斷演進的威脅予以審視。瀏覽器在記憶體中儲存密碼資料,是為協助使用者快速且安全地登入,這是瀏覽器預期內的功能。我們建議使用者安裝最新的安全更新與防毒軟體,以協助抵禦各類資安威脅」,一位微軟發言人透過聲明表示。
儘管微軟原本說法或許有其道理,但這類行為似乎僅限於 Microsoft Edge 的密碼管理器。Tom Jøran Sønstebyseter Rønning 表示,在他測試過的 Chromium 系列瀏覽器中,Microsoft Edge 是唯一以這種方式運作的瀏覽器。相對來說,Google Chrome 只在需要時才會解密憑證,不會將所有密碼隨時保存在記憶體中。他補充說,Chrome 的設計方式使得攻擊者難以僅憑讀取裝置記憶體便能擷取出已儲存的密碼。
現在 Microsoft Edge 148 版本已經釋出,經過更新、重新啟動瀏覽器便能獲得更好的安全防護。
(首圖來源:微軟)
科技新報粉絲團
加入好友
訂閱免費電子報
