导语:Microsoft Edge被曝光在内存中明文保存所有已保存的密码,热度飙升至5.4万。讽刺的是,微软的回应只有四个字——”按设计运作”。这么大一个公司,对安全就这么敷衍?用户的密码安全,究竟谁来守护?
一、事件回顾:密码在内存中”裸奔”
据媒体报道,安全研究人员发现Microsoft Edge浏览器存在一个严重问题:所有用户保存的密码都以明文形式存储在内存中。这意味着,当用户使用Edge的”密码管理器”功能时,这些敏感凭证并未得到应有的加密保护。
从蓝队视角来看,这是一个严重的安全缺陷:
- 攻击面扩大:任何能访问用户进程内存的攻击者(如恶意软件、间谍软件)都可以轻易截获这些明文密码
- 横向移动风险:在企业环境中,攻击者可以通过内存抓取的方式,从一台主机获取到用户的各种在线凭证
- 检测难度低:由于是内存级访问,传统的终端防护难以发现这种攻击行为
二、”按设计运作”——最敷衍的安全回应
面对如此严重的安全问题,微软的回应却轻描淡写:”按设计运作”。
这四个字,究竟是技术解释还是公关话术?
从安全运营的角度分析,如果这确实是”设计如此”,那只能说明一个问题:微软在设计Edge密码管理器时,安全考量是缺位的。
真正负责任的做法应该是:
- 正面承认问题:不回避,不推诿
- 评估影响范围:明确告知全球多少用户受影响
- 制定修复计划:给出明确的修复时间表
- 加强安全措施:考虑内存加密、进程隔离等增强方案
三、用户信任,不能被如此挥霍
微软作为全球最大的科技公司之一,拥有数十亿用户。用户选择将密码交给Edge管理,是对微软品牌的信任。而这种”明文存储”的做法,无异于辜负了用户的信任。
根据心理契约理论,用户与软件服务商之间存在一种隐性的信任契约:用户提供了个人数据,服务商有义务妥善保管。而Microsoft Edge的表现,显然违反了这一契约。
对于企业用户而言,风险更为严峻:
- 密码集中在浏览器中:员工使用Edge保存的所有工作账号密码都可能暴露
- 内网横向移动:攻击者可利用截获的凭证进一步渗透企业内网
- 数据资产损失:邮箱、VPN、CMS后台——所有用Edge保存过的密码都可能沦陷
四、我们还能相信什么?
作为安全从业者,我们一直在呼吁用户”使用密码管理器”、”选择安全的产品”。然而,当主流浏览器的密码管理器都存在如此严重的问题时,我们的建议显得多么苍白。
给用户的建议:
- 暂时避免使用Edge保存密码,尤其是重要账号
- 启用多因素认证,即使密码泄露也有额外保护
- 考虑使用专业的密码管理器,如Bitwarden、1Password等开源或商业方案
- 监控异常登录,及时发现账号被盗用迹象
给微软的呼吁:
这不是一句”按设计运作”就能了结的事。请正视用户的关切,拿出实际行动来修复这个问题。全球用户的密码安全,不应该成为你们产品设计缺陷的牺牲品。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容