Parola yöneticilerinin amacı, erişim verilerinin korumalı ve güvenli bir şekilde saklanmasına yardımcı olmak ve böylece kullanıcıları “bellek çalışması”ndan kurtarmaktır. Pratik küçük yardımcılar aynı zamanda cihaz sınırlarının ötesine geçebilir ve akıllı telefonlar, masaüstü bilgisayarlar ve dizüstü bilgisayarlardaki erişim verilerini yönetebilir. Genellikle bulutta uçtan uca şifrelenmiş olarak depolanırlar. Ayrıca şifrelerin hafızada sadece kısa bir süreliğine çözülmesi gerekmektedir. Ancak Microsoft'un Edge tarayıcısındaki şifre yöneticisi burada başarısız oluyor.
Reklamdan sonra devamını okuyun
Tom Jøran Sønstebyseter Rønning, X ile ilgili bir gönderide soruna dikkat çekiyor. Basit bir test güvenlik açığını doğrular. Microsoft Edge'de şifre yöneticisini etkinleştirerek “Klartext PW Test” şifresiyle bir hesap oluşturduk. Bu verileri görüntülemek, erişmek veya değiştirmek için Microsoft Edge, Windows Hello kimlik doğrulamasını gerektirir. Bu, verilerin iyi korunmuş göründüğü anlamına gelir.
Kontrol etmek için tarayıcıyı kapattık ve Microsoft Edge'i yeniden başlattık. Edge yalnızca kendi ana sayfasını görüntüledi. Artık görev yöneticisini kullanarak tarayıcının hafıza görüntüsünü oluşturabilirsiniz. Sürücüde yaklaşık 670 MB yer aldı. Burada, “düz metin” için bir hex düzenleyiciyle yapılan basit bir arama, “düz metin PW testi” parolasının tamamını döndürdü – parola henüz kullanılmadı, ancak bellekte düz metin olarak var.
Güvenli olmayan şifre tutumu
Süreç belleğindeki parolalarla bu şekilde uğraşmak, uzun süredir artık son teknoloji ürünü değil. Yaygın güvenlik kavramlarına göre, parolaların yalnızca kullanım sırasında çözülmesi ve çok kısa bir süre sonra bellekten silinmesi gerekir. Microsoft'un, kullanıldıkları siteler ziyaret edilmemiş olmasına rağmen tüm şifreleri belleğe yüklemesi bile apaçık bir anakronizmdir. Bu ayrı bir güvenlik açığı kategorisidir: CWE-316, “Hassas Bilgilerin Bellekte Açık Metin Saklanması”. Microsoft'un bunu hızla geliştirmesi gerekiyor. Ancak Itavisen.no, Rønning'in Microsoft'un güvenlik açığı raporuna verdiği yanıtın bunun bilinçli bir tasarım kararı ve kasıtlı olduğu yönünde olduğunu bildirdi. Bu nedenle kullanıcılar güvenli tarafta olmak için diğer şifre yöneticilerini aramalıdır.
Geçtiğimiz Aralık ayında yaptığı şifre yöneticisi testi sırasında Federal Bilgi Güvenliği Bürosu (BSI), Microsoft Edge şifre yöneticisini açıkça hariç tuttu. Ancak Ağustos 2024'te VPN yazılımı ve şifre yöneticileri üzerinde yapılan bir denetimde bazı ürünlerde de bu tür güvenlik açıkları tespit edildi.
(DMK)
Bir yanıt yazın