Microsoft Edge slaat wachtwoorden onveilig op in geheugen: waarom dit een serieus risico is

Microsoft Edge slaat wachtwoorden onveilig op in geheugen: waarom dit een serieus risico is

door | 6 mei, 2026 | Blog | 0 Reacties

Een recent beveiligingsonderzoek heeft een zorgwekkend probleem blootgelegd in Microsoft Edge. Onderzoekers ontdekten dat Edge alle opgeslagen wachtwoorden direct bij het opstarten van de browser ontsleutelt en als platte tekst in het werkgeheugen bewaart. Dat gebeurt zelfs wanneer een gebruiker de betreffende websites nooit bezoekt tijdens die sessie.

Voor organisaties is dit geen theoretisch risico, maar een concreet beveiligingsprobleem — zeker in omgevingen met gedeelde systemen, terminalservers of Remote Desktop Services (RDS).

Wachtwoorden in Chromium browsers

Tijdens het BigBiteOfTech-event op 29 april presenteerde beveiligingsonderzoeker @L1v1ng0ffTh3L4N zijn analyse van Chromium-gebaseerde browsers zoals Chrome, Edge en andere varianten.

De conclusie was opvallend:

  • Microsoft Edge laadt alle opgeslagen wachtwoorden direct in het geheugen zodra de browser start.
  • Deze wachtwoorden blijven gedurende de volledige browsersessie als platte tekst beschikbaar.
  • Andere browsers, zoals Google Chrome, ontsleutelen wachtwoorden alleen op het moment dat ze daadwerkelijk nodig zijn.

Dat betekent dat een aanvaller die toegang krijgt tot het geheugen van het Edge-proces, potentieel alle opgeslagen inloggegevens kan uitlezen.

Waarom wachtwoorden opslaan in browser een groot risico is

Veel gebruikers denken dat opgeslagen browserwachtwoorden veilig zijn omdat de browser opnieuw om authenticatie vraagt wanneer een wachtwoord zichtbaar gemaakt moet worden. Maar in werkelijkheid blijken de wachtwoorden al volledig beschikbaar te zijn in het geheugen van de browser. De extra verificatie in de gebruikersinterface geeft dus vooral een gevoel van veiligheid, terwijl de daadwerkelijke bescherming ontbreekt.

Extra gevaar in RDS- en VDI-omgevingen

Het risico wordt nog groter in omgevingen waar meerdere gebruikers tegelijkertijd op dezelfde server werken, zoals:

  • Remote Desktop Services (RDS)
  • Terminalservers
  • VDI-omgevingen
  • Shared workstations

Een beheerder of aanvaller met verhoogde rechten kan in zulke situaties het geheugen van meerdere gebruikerssessies uitlezen en daarmee opgeslagen wachtwoorden verzamelen van alle actieve gebruikers.

In een proof-of-concept demonstratie lukte het onderzoekers om opgeslagen inloggegevens van meerdere gebruikers tegelijk uit Edge te halen — zelfs van gebruikers waarvan de sessie alleen nog actief was op de achtergrond.

Microsoft: “By design”

De onderzoeker heeft het probleem verantwoord gemeld bij Microsoft. Het antwoord van Microsoft was dat dit gedrag “by design” is. Microsoft erkent dat lokaal geheugen toegankelijk kan zijn voor aanvallers met voldoende rechten en beschouwt dit scenario buiten het standaard dreigingsmodel van de browser. Voor moderne bedrijfsomgevingen is dat echter een discutabele aanname. Aanvallers richten zich juist steeds vaker op laterale beweging binnen netwerken en privilege escalation, waarbij toegang tot geheugen van processen een veelgebruikte techniek is.

Waarom browserwachtwoorden sowieso geen goed idee zijn

Los van deze specifieke kwetsbaarheid raden wij het bij Lemontree sterk af om zakelijke wachtwoorden in browsers op te slaan.

Browsergebaseerde wachtwoordopslag heeft meerdere nadelen:

  • beperkte beveiliging tegen malware en memory scraping;
  • geen centrale controle of governance;
  • lastig beheer van zakelijke accounts;
  • geen veilige auditmogelijkheden;
  • onvoldoende bescherming in gedeelde omgevingen;
  • verhoogd risico bij phishing of accountcompromises.

Bovendien gebruiken medewerkers vaak dezelfde browser voor zowel zakelijke als privédoeleinden, waardoor risico’s zich verder vermengen.

Wat Lemontree adviseert

Voor professionele IT-omgevingen adviseren wij om browserwachtwoorden volledig uit te faseren en gebruik te maken van een professionele password management-oplossing.

Een moderne enterprise password manager biedt onder andere:

  • versleutelde opslag van wachtwoorden;
  • zero-knowledge architectuur;
  • multifactor authenticatie (MFA);
  • veilige wachtwoorddeling;
  • centrale beleidscontrole;
  • auditing en logging;
  • integratie met Microsoft 365 en identity-platformen;
  • ondersteuning voor privileged access management.

Lemontree helpt organisaties met veilige wachtwoordopslag

Bij Lemontree implementeren en beheren wij kwalitatieve oplossingen voor veilige identiteit- en wachtwoordbeheeromgevingen. Daarmee helpen wij organisaties om:

  • wachtwoorden veilig op te slaan;
  • risico’s van browseropslag te elimineren;
  • securitybeleid centraal af te dwingen;
  • gebruikers veiliger én gebruiksvriendelijker te laten werken.

Zeker in moderne hybride werkplekken en Microsoft 365-omgevingen is professioneel credential management geen luxe meer, maar een noodzakelijke beveiligingsmaatregel.