Klartext im Speicher: Neubewertung der Passwortsicherheit im Browser

Ausgangslage

Anfang Mai wurde öffentlich bekannt, dass Microsoft Edge gespeicherte Passwörter beim Start des Prozesses unverschlüsselt im Arbeitsspeicher hält (https://x.com/L1v1ng0ffTh3L4N/status/2051308329880719730). Dadurch ist das direkte Auslesen der gespeicherten Passwörter aus dem Speicher von msedge.exe möglich.

Microsoft hat darauf reagiert (siehe https://microsoftedge.github.io/edgevr/posts/Saved-passwords-in-Edge-memory-what-were-changing-and-why/) und mit Version 148.0.3967.70 eine Änderung eingeführt, die verhindert, dass Passwörter direkt beim Start entschlüsselt im Speicher vorliegen.

Basierend darauf haben wir das Handling von Passwörtern im Speicher von Microsoft Edge und Google Chrome weiter untersucht.

Beobachtung

Unsere Untersuchungen zeigten jedoch, dass beim Aufruf der Seite edge://settings/autofill weiterhin mehrere gespeicherte Passwörter entschlüsselt und im Speicher gehalten werden. Auf dieser Seite werden die Passwörter standardmässig noch nicht im Klartext angezeigt, sodass aus funktionaler Sicht keine unmittelbare Notwendigkeit zur Entschlüsselung besteht.

Es hat sich ausserdem gezeigt, dass dieses Problem nicht nur beim Microsoft Edge besteht, sondern ebenfalls bei Google Chrome.

Automatisierung

Ein direkter Aufruf von msedge.exe edge://settings/autofill ist nicht möglich. Der Browser akzeptiert beim Start offenbar nur bestimmte URL-Schemata (z. B. http:// and https://), jedoch nicht edge://.

Um die Situation dennoch reproduzierbar und automatisiert zu machen, sind wir wie folgt vorgegangen:

1. Beenden aller msedge.exe Prozesse  

2. Backup der Dateien im Verzeichnis [User Data]/Default/Sessions

3. Einspielen einer vorbereiteten Session, die einen Tab mit edge://settings/autofill enthält  

4. Starten von msedge.exe --restore-previous-session, um das Laden der Session zu erzwingen  

5. Auslesen der Passwörter aus dem Prozessspeicher  

6. Beenden aller msedge.exe Prozesse  

7. Wiederherstellen der ursprünglichen Session-Dateien

Wir haben dafür einen Proof of Concept implementiert, der diese Schritte automatisiert. Der Ansatz funktioniert sowohl mit Microsoft Edge als auch mit Google Chrome. Der Proof of Concept findet sich hier: ChristianBiegAG/SavedPasswordsDumper

Bewertung

Wir haben das Verhalten am 20.05.2026 an das Chromium-Team gemeldet. Das Issue wurde jedoch geschlossen mit Verweis auf das sogenannte „Infected Machine“-Threat-Model, bei dem Angriffe mit bereits vorhandener Code Execution im User-Kontext nicht berücksichtigt werden.

Unabhängig davon stellt sich die Frage, welche Erwartungen an einen integrierten Passwort-Manager gestellt werden sollten. In vielen Sicherheitsdesigns gilt das Prinzip, dass sensible Daten nur dann entschlüsselt werden, wenn sie tatsächlich benötigt werden.

Im konkreten Fall bedeutet das:

• Entschlüsselung möglichst spät (on-demand

• Beschränkung auf die konkret benötigten Einträge

• Minimierung der Verweildauer im Arbeitsspeicher

• Optional zusätzliche Benutzerbestätigung (z. B. via OS-Authentifizierung oder Biometrics)  

Andere Passwort-Manager (wie z.B. Keepass) setzen diese Prinzipien um.