Microsoft Edge slaat wachtwoorden onveilig op in geheugen: waarom dit een serieus risico is

Microsoft Edge slaat wachtwoorden onveilig op in geheugen: waarom dit een serieus risico is

door | 6 mei, 2026 | Blog | 0 Reacties

Een recent beveiligingsonderzoek heeft een zorgwekkend probleem blootgelegd in Microsoft Edge. Onderzoekers ontdekten dat Edge alle opgeslagen wachtwoorden direct bij het opstarten van de browser ontsleutelt en als platte tekst in het werkgeheugen bewaart. Dat gebeurt zelfs wanneer een gebruiker de betreffende websites nooit bezoekt tijdens die sessie.

Voor organisaties is dit geen theoretisch risico, maar een concreet beveiligingsprobleem — zeker in omgevingen met gedeelde systemen, terminalservers of Remote Desktop Services (RDS).

Wachtwoorden in Chromium browsers

Tijdens het BigBiteOfTech-event op 29 april presenteerde beveiligingsonderzoeker @L1v1ng0ffTh3L4N zijn analyse van Chromium-gebaseerde browsers zoals Chrome, Edge en andere varianten.

De conclusie was opvallend:

  • Microsoft Edge laadt alle opgeslagen wachtwoorden direct in het geheugen zodra de browser start.
  • Deze wachtwoorden blijven gedurende de volledige browsersessie als platte tekst beschikbaar.
  • Andere browsers, zoals Google Chrome, ontsleutelen wachtwoorden alleen op het moment dat ze daadwerkelijk nodig zijn.

Dat betekent dat een aanvaller die toegang krijgt tot het geheugen van het Edge-proces, potentieel alle opgeslagen inloggegevens kan uitlezen.

Waarom wachtwoorden opslaan in browser een groot risico is

Veel gebruikers denken dat opgeslagen browserwachtwoorden veilig zijn omdat de browser opnieuw om authenticatie vraagt wanneer een wachtwoord zichtbaar gemaakt moet worden. Maar in werkelijkheid blijken de wachtwoorden al volledig beschikbaar te zijn in het geheugen van de browser. De extra verificatie in de gebruikersinterface geeft dus vooral een gevoel van veiligheid, terwijl de daadwerkelijke bescherming ontbreekt.

Extra gevaar in RDS- en VDI-omgevingen

Het risico wordt nog groter in omgevingen waar meerdere gebruikers tegelijkertijd op dezelfde server werken, zoals:

  • Remote Desktop Services (RDS)
  • Terminalservers
  • VDI-omgevingen
  • Shared workstations

Een beheerder of aanvaller met verhoogde rechten kan in zulke situaties het geheugen van meerdere gebruikerssessies uitlezen en daarmee opgeslagen wachtwoorden verzamelen van alle actieve gebruikers.

In een proof-of-concept demonstratie lukte het onderzoekers om opgeslagen inloggegevens van meerdere gebruikers tegelijk uit Edge te halen — zelfs van gebruikers waarvan de sessie alleen nog actief was op de achtergrond.

Microsoft: “By design”

De onderzoeker heeft het probleem verantwoord gemeld bij Microsoft. Het antwoord van Microsoft was dat dit gedrag “by design” is. Microsoft erkent dat lokaal geheugen toegankelijk kan zijn voor aanvallers met voldoende rechten en beschouwt dit scenario buiten het standaard dreigingsmodel van de browser. Voor moderne bedrijfsomgevingen is dat echter een discutabele aanname. Aanvallers richten zich juist steeds vaker op laterale beweging binnen netwerken en privilege escalation, waarbij toegang tot geheugen van processen een veelgebruikte techniek is.

Waarom browserwachtwoorden sowieso geen goed idee zijn

Los van deze specifieke kwetsbaarheid raden wij het bij Lemontree sterk af om zakelijke wachtwoorden in browsers op te slaan.

Browsergebaseerde wachtwoordopslag heeft meerdere nadelen:

  • beperkte beveiliging tegen malware en memory scraping;
  • geen centrale controle of governance;
  • lastig beheer van zakelijke accounts;
  • geen veilige auditmogelijkheden;
  • onvoldoende bescherming in gedeelde omgevingen;
  • verhoogd risico bij phishing of accountcompromises.

Bovendien gebruiken medewerkers vaak dezelfde browser voor zowel zakelijke als privédoeleinden, waardoor risico’s zich verder vermengen.

Wat Lemontree adviseert

Voor professionele IT-omgevingen adviseren wij om browserwachtwoorden volledig uit te faseren en gebruik te maken van een professionele password management-oplossing.

Een moderne enterprise password manager biedt onder andere:

  • versleutelde opslag van wachtwoorden;
  • zero-knowledge architectuur;
  • multifactor authenticatie (MFA);
  • veilige wachtwoorddeling;
  • centrale beleidscontrole;
  • auditing en logging;
  • integratie met Microsoft 365 en identity-platformen;
  • ondersteuning voor privileged access management.

Lemontree helpt organisaties met veilige wachtwoordopslag

Bij Lemontree implementeren en beheren wij kwalitatieve oplossingen voor veilige identiteit- en wachtwoordbeheeromgevingen. Daarmee helpen wij organisaties om:

  • wachtwoorden veilig op te slaan;
  • risico’s van browseropslag te elimineren;
  • securitybeleid centraal af te dwingen;
  • gebruikers veiliger én gebruiksvriendelijker te laten werken.

Zeker in moderne hybride werkplekken en Microsoft 365-omgevingen is professioneel credential management geen luxe meer, maar een noodzakelijke beveiligingsmaatregel.

Wereld Wachtwoord Dag: Het belang van sterke wachtwoorden

Wereld Wachtwoord Dag: Het belang van sterke wachtwoorden

door | 2 mei, 2024 | Nieuws | 0 Reacties

Vandaag is het donderdag 2 mei: dus Wereld Wachtwoord dag! Want Wereld Wachtwoord Dag wordt gevierd op de eerste donderdag van mei. Deze dag herinnert ons eraan hoe cruciaal sterke wachtwoorden zijn voor onze digitale veiligheid. In een tijdperk waarin datalekken en cyberaanvallen steeds vaker voorkomen, is het essentieel om bewust om te gaan met de beveiliging van onze online accounts. Dit artikel biedt een overzicht van effectieve maatregelen voor het kiezen en beheren van wachtwoorden.

Het belang van sterke wachtwoorden

Een sterk wachtwoord vormt de eerste verdedigingslinie tegen ongeautoriseerde toegang tot persoonlijke en financiële gegevens. Zwakke wachtwoorden, zoals ‘123456’ of ‘wachtwoord’, zijn gemakkelijk te raden en worden vaak als eerste getest door cybercriminelen. Sterke wachtwoorden zijn complex en uniek voor elk account, waardoor het risico op een geslaagde aanval aanzienlijk wordt verkleind.

Richtlijnen voor sterke wachtwoorden

  1. Lengte en complexiteit: Een sterk wachtwoord moet minimaal 12 tekens lang zijn en een combinatie van hoofdletters, kleine letters, cijfers en speciale tekens bevatten.
  2. Gebruik geen persoonlijke informatie: Vermijd geboortedata, namen van huisdieren of andere gemakkelijk te vinden informatie in je wachtwoorden.
  3. Vermijd hergebruik van wachtwoorden: Gebruik niet hetzelfde wachtwoord voor meerdere accounts. Als een hacker toegang krijgt tot één wachtwoord, kunnen ze mogelijk toegang krijgen tot al je accounts.
  4. Gebruik van woordgroepen: Overweeg het gebruik van een wachtwoordzin die makkelijk te onthouden is maar moeilijk te raden. Bijvoorbeeld, de zin “Ik eet elke ochtend 2 appels!” kan worden omgezet in “IeEo2a!”.

Veilig beheer van wachtwoorden

  1. Wachtwoordbeheerders: Overweeg het gebruik van een wachtwoordbeheerder die sterke wachtwoorden kan genereren en veilig opslaan. Hierdoor hoef je niet elk wachtwoord te onthouden en kun je gemakkelijk sterke en unieke wachtwoorden voor elk account aanmaken.
  2. Tweefactorauthenticatie (2FA): Waar mogelijk, activeer 2FA. Dit voegt een extra beveiligingslaag toe door iets dat je weet (je wachtwoord) te combineren met iets dat je hebt (bijvoorbeeld een smartphone-app die een eenmalige code genereert).
  3. Regelmatige updates: Verander je wachtwoorden regelmatig en vooral na een bekend datalek.
  4. Wees alert op phishing: Wees voorzichtig met e-mails of berichten die om wachtwoorden vragen. Legitieme bedrijven zullen je nooit via e-mail om je wachtwoord vragen.

 

Sla je wachtwoord nooit op in je browser

Browsers zoals Chrome, Firefox en Edge vragen dikwijls om je wachtwoord op te slaan. Dat lijkt wellicht handig, maar is heel onverstandig want:

  • Je bent een eenvoudige prooi voor virussen: Er zijn virussen die speciaal gemaakt zijn om wachtwoorden te stelen, en als die eenmaal binnen zijn, kunnen ze zo bij al die opgeslagen gegevens;
  • Als één apparaat lekt, lekken ze allemaal: als je gebruik maakt van synchronisatie van gegevens, dan loop je het risico dat als één apparaat gehackt wordt, ook al je wachtwoorden op andere apparaten gecompromitteerd zijn;
  • Browsers versus wachtwoordkluisjes: Browsers doen hun best om veilig te zijn, maar ze zijn niet zo gespecialiseerd in beveiliging als bijvoorbeeld 1Password;
  • Phishing: Automatisch invullen op websites is super, maar als je per ongeluk op een nepwebsite zit, geef je misschien zonder het te weten je gegevens weg.

Kortom: ga bewust om met wachtwoorden en bescherm jouw gegevens en die van je bedrijf zorgvuldig.

RedLine-malware laat zien waarom wachtwoorden niet in browsers moeten worden opgeslagen

RedLine-malware laat zien waarom wachtwoorden niet in browsers moeten worden opgeslagen

door | 10 jan, 2022 | Nieuws | 0 Reacties

Het opslaan van inloggegevens in de browser vormt een groot beveiligingsrisico voor particulieren en bedrijven. Zo blijkt uit een recent voorbeeld dat de VPN inloggegevens van een medewerker werd gestolen door een RedLine Malware ‘gebruiker’ die de informatie drie maanden later gebruikte om het bedrijfsnetwerk te hacken. Ondanks dat er op de geïnfecteerde computer malware software was geïnstalleerd werd de aanval niet gedetecteerd en kon deze dus niet voorkomen worden.

 

RedLine malware

RedLine-malware is gericht op het stelen van informatie uit populaire webbrowsers zoals Chrome, Edge en Opera. Deze malware toont aan dat het opslaan van wachtwoorden in browser een bijzonder slecht idee is. Voor ongeveer 200 dollar kan deze malware worden aangeschaft op forums en kan deze software worden ingezet zonder veel technische kennis en inspanning. De malware richt zich op het ‘Login Data’-bestand dat te vinden is in alle Chromium-gebaseerde webbrowsers en is een SQLite-database waarin gebruikersnamen en wachtwoorden worden opgeslagen. Zeer zorgelijk is de stijgende populariteit van bijvoorbeeld ‘2easy’ darkweb marktplaats, waar de helft van alle verkochte data werd gestolen met behulp van deze RedLine malware.

 

Hoewel de wachtwoordarchieven in de browser zijn versleuteld, kan malware deze informatie decoderen zolang ze maar is ingelogd als dezelfde gebruiker. Aangezien RedLine wordt uitgevoerd als de geïnfecteerde gebruiker, kan het de wachtwoorden uit hun browserprofiel halen.

 

 

Hoe dan wel omgaan met wachtwoorden?

Hoewel het verleidelijk is en handig lijkt om inloggegevens in de webbrowser op te slaan, is dit erg riskant. Zelfs als er geen malware infecties op de computer staan. Door dit te doen, kan een lokale of externe actor met toegang tot uw machine binnen enkele minuten al uw wachtwoorden stelen. In plaats daarvan is het het beste om een speciale wachtwoordbeheerder te gebruiken die alles opslaat in een gecodeerde kluis en het hoofdwachtwoord vraagt om het te ontgrendelen. Voorbeelden hiervan zijn 1Password, Keeper, Roboform en Nordpass. Bovendien moet u specifieke regels configureren voor gevoelige websites, zoals portals voor e-banking of webpagina’s met bedrijfsactiva, waarvoor handmatige invoer van referenties vereist is.

Gebruik voor zover mogelijk altijd multi-factor authenticatie, aangezien deze extra stap u kan behoeden voor accountovername-incidenten, zelfs als uw inloggegevens zijn gecompromitteerd.