Microsoft Edge zná vaše hesla: A nechává je jen tak ležet
Používáte-li vestavěný správce hesel v Microsoft Edge, jistě věříte, že Microsoft s vašimi údaji zachází bezpečně. Při zobrazení každého hesla sice prohlížeč vyžaduje ověření přes systém Windows Hello – otisk prstu, PIN nebo rozpoznání obličeje –, jenže tato pojistka chrání jen to, co vidíte na obrazovce.
V pozadí se ale děje něco úplně jiného: Všechna hesla uložená ve správci Microsoftu leží v operační paměti jako prostý text Jsou tak čitelnáý pro jakýkoli software, který se k paměti dostane.
Mohlo by vás zajímat
Test rychlosti antivirových programů: Jak moc vestavěný Defender zpomaluje váš počítač s Windows?
Bezpečnost
Problém odhalil bezpečnostní výzkumník
K odhalení bezpečnostní díry přispěl norský bezpečnostní výzkumník Tom Jøran Sønstebyseter Rønning. Zjistil, že prohlížeč Edge při spuštění všechna uložená hesla dešifruje a načte do paměti – a to i ta, jejichž webové stránky jste v aktuální relaci ani neotevřeli.
Rønning prověřil i ostatní prohlížeče a došel k zajímavému zjištění. Edge je jediný prohlížeč na bázi Chromia, který se takto chová. Chrome hesla dešifruje pouze v okamžiku, kdy jsou skutečně potřeba, a po použití je z paměti okamžitě smaže. Šifrovací klíče navíc chrání technologií App-Bound Encryption, která je váže na vlastní proces. Jiné programy tak s nimi nezmůžou vůbec nic.
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
Microsoft: je to záměr
Po nahlášení problému Microsoftu bezpečnostní expert obdržel stručnou odpověď: „Chování je ‚by design‘, tedy záměrné.“ Žádné uznání bezpečnostní díry, žádná odměna za její odhalení ani upozornění.
Pro magazín Cybernews pak Microsoft ještě dodal, že prohlížeče přistupují k heslům v paměti proto, aby se uživatelé mohli rychle a pohodlně přihlašovat. Prý jde o očekávané chování aplikace. Jako řešení doporučil pravidelné aktualizace a instalaci antivirového softwaru.
Celou věc Microsoft uzavřel argumentem, že komu se do počítače dostal malware nebo jej ovládá útočník s administrátorskými právy, tomu by ani odstranění rizikové manipulace s hesly v Edge stejně nepomohlo. Právě s tím ale odborníci na bezpečnost nesouhlasí. Microsoft totiž k celé věci přistupuje tak, jako by úspěšný útok vždy znamenal totální prohru. A to nemusí být pravda.
Mohlo by vás zajímat
V praxi prohlížeč Edge škody výrazně znásobuje
Obrovský rozdíl je v tom, jestli útočník získá jedno heslo, které se právě používá, nebo celou vaši sbírku. U Chrome dostane v nejhorším scénáři pouze jediné heslo – právě to, které jste zrovna použili. U Edge ale dojde ve stejný okamžik ke kompromitaci všech hesel, která jste si předtím uložili do jeho správce.
Pokud jste navíc v Edge přihlášeni k účtu Microsoft a máte zapnutou synchronizaci, situace je ještě horší: v paměti pak leží hesla i z vašich ostatních zařízení.
V praxi to pro nás znamená ohrožení mnoha online služeb a aplikací: internetového bankovnictví, e-mailu, cloudového úložiště, přihlášení k internetovým obchodům i sociálním sítím. V pracovním prostředí se k tomu přičítají přístupy do firemních systémů, cloudových služeb nebo portálů obchodních partnerů. Obzvlášť citlivé je to u uživatelů s administrátorskými právy. To jsou například pracovníci v účetním oddělení, kteří spravují finance a mají přístup k osobním a citlivým údajům.
Mohlo by vás zajímat
Jediný úspěšný útok tak může otevřít přístup k firemnímu bankovnictví, mzdovým systémům a ohrozit i dodavatelský řetězec. Microsoft přitom toto riziko ve vlastní dokumentaci zmiňuje, ale vědomě ho z bezpečnostní problematiky prohlížeče vyčleňuje.
A aby toho nebylo dost, je zde ještě jedno riziko. Týká se terminálových serverů, kde najednou pracuje více operátorů. Kompromitovaný nebo útokem zmanipulovaný administrátorský účet může číst paměť všech procesů Edge najednou. Rázem tak získá přihlašovací údaje desítek zaměstnanců.
Vyberte si ze srovnávacího přehledu nejlepší řešení pro správu hesel
Používáte prohlížeč Edge? Co byste měli udělat teď hned
Popsaný problém se týká všech hesel, která jsou uložena ve správci Edge, a při aktivní synchronizaci také všech, která jsou přenesena z jiných zařízení prostřednictvím účtu Microsoft. Pokud používáte externí správce hesel, jako Bitwarden, 1Password nebo KeePass, nemusíte se bát: ty totiž hesla dešifrují pouze na krátkou dobu a poté je z paměti okamžitě odstraní.
Máte-li v Edge uložená důležitá hesla, odstraňte je a raději sáhněte po některém z uvedených správců hesel třetích stran. A kdekoli je to možné, používejte dvoufaktorové ověřování. To zastaví útočníka i v případě, že se k heslu dostane.
Microsoft zatím žádnou opravu neohlásil a odpovědnost přehazuje na uživatele, kteří by si sami měli vlastní zařízení dostatečně zabezpečit. Shrnuto a podtrženo. Pro citlivé účty není správce hesel v Edge dobrou volbou.
Zdroj: PCMag, Dark Reading, X / @L1v1ng0ffTh3L4N
5 foto
