Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
Intisari ZDNET
Microsoft Edge menyimpan kata sandi Anda dalam bentuk teks biasa (plaintext) di RAM.
Perilaku ini terjadi jika Anda menggunakan Edge sebagai pengelola kata sandi.
Microsoft mengklaim bahwa perilaku ini adalah fitur, bukan bug.
Apakah Anda menggunakan Microsoft Edge untuk menyimpan dan mengelola kata sandi situs web? Jika ya, sebuah temuan baru menimbulkan pertanyaan tentang keamanan kata sandi yang Anda simpan.
Seorang peneliti keamanan menemukan bahwa Edge menyimpan kata sandi teks biasa di memori saat Anda menggunakannya untuk mengelola kata sandi tersebut. Dalam sebuah unggahan di media sosial, peneliti Tom Jøran Sønstebyseter Rønning menjelaskan bagaimana proses ini bekerja dan mengunggah video yang mendemonstrasikannya.
Baca juga: [Trojan menyalahgunakan aplikasi Microsoft Phone Link untuk mencuri kata sandi Anda]
"Ketika Anda menyimpan kata sandi di Edge, peramban akan mendekripsi setiap kredensial saat dinyalakan dan menyimpannya di memori proses," kata Rønning. "Ini terjadi bahkan jika Anda tidak pernah mengunjungi situs yang menggunakan kredensial tersebut. Padahal, Edge meminta Anda untuk mengautentikasi ulang sebelum menampilkan kata sandi itu di antarmuka Pengelola Kata Sandi — namun proses peramban sudah memiliki semuanya dalam bentuk teks biasa."
Microsoft Menyebut Perilaku Ini sebagai Fitur yang Diharapkan
Di GitHub, Rønning mengunggah kode yang ia buat untuk mendeteksi perilaku ini. Dinamai EdgeSavedPasswordsDumper, kode tersebut menunjukkan bahwa setiap kredensial yang disimpan oleh pengguna Microsoft Password Manager di Edge disimpan dalam teks biasa di memori proses Edge.
Dalam sebuah pernyataan yang dibagikan kepada ZDNET, Microsoft mengakui perilaku ini namun mengatakan bahwa itu adalah fitur yang diharapkan dan hanya akan menimbulkan risiko jika perangkat Anda sudah dikompromikan.
"Akses ke data peramban seperti yang dijelaskan dalam skenario yang dilaporkan membutuhkan perangkat yang sudah dikompromikan," demikian pernyataan juru bicara Microsoft. "Pilihan desain di bidang ini melibatkan keseimbangan antara kinerja, kegunaan, dan keamanan, dan kami terus meninjaunya terhadap ancaman yang berkembang. Peramban mengakses data kata sandi di memori untuk membantu pengguna masuk dengan cepat dan aman — ini adalah fitur yang diharapkan dari aplikasi. Kami merekomendasikan pengguna untuk menginstal pembaruan keamanan terbaru dan perangkat lunak antivirus untuk membantu melindungi dari ancaman keamanan."
Baca juga: [Beralih pengelola kata sandi tanpa kehilangan satu pun login itu mungkin — dan saya buktinya]
Klaim Microsoft bahwa perangkat Anda harus sudah dikompromikan tampaknya masuk akal, setidaknya berdasarkan pengujian Rønning. Seperti yang ditunjukkan dalam video, proses ini bergantung pada penyerang yang telah mengambil alih akun pengguna dengan hak administratif, yang kemudian memberi mereka akses ke memori semua proses pengguna yang sedang masuk, dengan kata sandi teks biasa dapat terlihat.
Rønning mengatakan bahwa Edge adalah satu-satunya peramban berbasis Chromium yang ia uji yang bertingkah seperti ini. Sebaliknya, Google Chrome hanya mendekripsi kredensial saat diperlukan daripada terus menyimpan semua kata sandi di memori. Desain Chrome membuatnya jauh lebih sulit bagi penyerang untuk mengekstrak kata sandi yang disimpan hanya dengan membaca memori perangkat, tambah Rønning. Sejauh ini, kelemahan ini tampaknya spesifik untuk Microsoft Password Manager yang digunakan di Edge.
"Meskipun Edge berbasis Chromium, tidak satu pun peramban berbasis Chromium lain yang saya uji menggunakan Microsoft Password Manager untuk menyimpan kata sandi dan data isi-otomatis," kata Rønning. "Dan saya ragukan itu berdasarkan Chromium?"
Baca juga: [5 pengaturan penting Windows Defender dinonaktifkan secara bawaan — aktifkan segera]
Jika Google bisa lebih baik dalam mengamankan perambannya dari mengekspos kata sandi teks biasa di memori, bukankah Microsoft seharusnya bisa melakukan hal yang sama? Sebagai tanggapan atas unggahan Rønning, orang lain mengatakan bahwa kredensial dapat disimpan di memori dalam format terenkripsi. Mereka hanya akan didekripsi saat diperlukan untuk masuk ke situs web dan kemudian segera dihapus setelahnya.
"Dari perspektif defensif, menyimpan kata sandi dalam memori teks bersih melanggar prinsip hak istimewa paling rendah, zero trust, dan desain aplikasi yang aman," kata Morey Haber, kepala penasihat keamanan di penyedia keamanan BeyondTrust, kepada ZDNET. "Ini benar-benar ide yang buruk. Jika kata sandi dapat dibaca di memori oleh manusia atau proses berbahaya, itu bukan lagi rahasia yang terlindungi. Pada prinsipnya, itu sudah dikompromikan melalui penyimpanan teks jelas di media yang sudah tidak aman."
Kekurangan Menggunakan Pengelola Kata Sandi Bawaan Peramban
Kecuali Microsoft memutuskan untuk mengubah cara kerja pengelola kata sandinya, apa yang dapat Anda lakukan jika Anda menggunakan Edge sebagai peramban bawaan untuk mengelola kata sandi Anda?
Saran saya adalah beralih ke pengelola kata sandi pihak ketiga yang khusus. Ya, menggunakan pengelola kata sandi bawaan peramban memang terlihat cepat dan praktis. Namun, ada beberapa kekurangan di luar temuan terbaru ini.
Jika seseorang mendapatkan akses ke PC atau perangkat seluler Anda melalui kata sandi, PIN, atau kode akses, mereka dapat meluncurkan peramban Anda dan menggunakan metode yang sama untuk melihat kata sandi Anda. Saya telah mencobanya di PC Windows hanya dengan PIN saya dan berhasil mengakses kata sandi teks biasa di Edge. Pengelola kata sandi pihak ketiga yang baik memerlukan autentikasi yang lebih kuat untuk melihat kata sandi Anda.
Baca juga: [Pengelola kata sandi terbaik: Diuji oleh ahli]
Pengelola kata sandi bawaan hanya berfungsi dengan peramban tertentu. Anda dapat menggunakan Edge sebagai bawaan, tetapi terkadang Anda mungkin beralih ke Chrome atau Firefox. Dalam kasus tersebut, kata sandi yang disimpan tidak akan tersedia. Saya menggunakan Firefox, Chrome, dan Edge baik untuk keperluan pribadi maupun profesional, jadi kata sandi saya harus dapat diakses di ketiganya.
Semoga Microsoft melihat ini sebagai celah keamanan dan mengadopsi metode yang sama seperti yang digunakan di Chrome dan peramban lain, yaitu mendekripsi kata sandi hanya saat diperlukan. Sampai saat itu tiba, saya menyarankan untuk tidak menggunakan Edge sebagai pengelola kata sandi Anda.