Proprio nei giorni della Giornata Mondiale della Password 2026, è esplosa una discussione piuttosto accesa attorno a un problema di sicurezza che riguarda Microsoft Edge. Diversi ricercatori hanno segnalato che le credenziali degli utenti risultano leggibili in chiaro durante alcune operazioni del browser, come esportazioni, sincronizzazioni o semplici visualizzazioni. E la cosa ha fatto parecchio rumore, comprensibilmente.
Per capire il contesto, vale la pena ricordare come funzionano i password manager integrati nei browser. Edge salva nomi utente e password in locale, all’interno di un database SQLite chiamato “Login Data”. I valori vengono cifrati tramite chiavi AES protette dalla Data Protection API (DPAPI) di Windows, un componente che lega la cifratura all’account locale o di dominio dell’utente. Il problema? Un malware che gira con gli stessi privilegi dell’utente può spesso accedere ai dati protetti senza nemmeno dover rompere la cifratura. Non esattamente una novità, ma resta un punto debole strutturale. Ecco perché le soluzioni professionali per la gestione delle credenziali, protette da una passphrase principale e dall’autenticazione a due fattori, continuano a essere molto più affidabili rispetto al password manager del browser.
Edge nel tempo ha aggiunto funzionalità come Password Monitor, la sincronizzazione con l’account Microsoft e l’integrazione con Windows Hello. Tutto giusto sulla carta, ma ogni funzione in più allarga anche la superficie di attacco.
Il nodo delle password leggibili nella memoria del browser
La segnalazione rilanciata dal SANS Internet Storm Center ha attirato attenzione soprattutto per il tono provocatorio: password in chiaro in Microsoft Edge nel 2026? Il punto, però, non riguarda credenziali archiviate permanentemente senza cifratura nel database locale. Il problema è più sottile. Quando l’utente visualizza una password salvata, oppure quando Edge la inserisce automaticamente in un modulo web, il browser deve per forza decifrarla. E in quel momento, quelle informazioni restano nella memoria RAM in forma leggibile.
Qui entra in gioco il cosiddetto credential dumping: strumenti offensivi e malware specializzati possono scandagliare la memoria dei processi legati al browser alla ricerca di credenziali in chiaro. Framework come Mimikatz lo fanno da anni, dimostrando quanto la memoria di sistema possa diventare un bersaglio privilegiato.
Rob VandenBrink del SANS ISC ha proposto una verifica pratica piuttosto eloquente. Basta aprire il Task Manager con CTRL+MAIUSC+ESC, cercare Edge tra i processi, cliccare con il tasto destro su “Browser” e selezionare “Crea file di dump della memoria”. A quel punto, utilizzando l’utilità Strings di Sysinternals, è possibile cercare una password nota oppure estrarre la maggior parte delle credenziali gestite da Edge in un formato immediatamente leggibile. VandenBrink ha commentato con una certa ironia: per visualizzare le credenziali nel browser si attiva una complessa procedura di sicurezza, eppure nella memoria del processo quelle stesse informazioni stanno lì, in chiaro, a disposizione di chiunque abbia accesso al sistema.
Microsoft ha introdotto mitigazioni importanti in Windows 11, tra cui la protezione VBS (Virtualization Based Security) con isolamento basato sulla virtualizzazione e vari controlli di integrità kernel. Però Edge rimane un’applicazione che gira nello spazio utente: se il sistema è già compromesso con privilegi adeguati, l’attaccante può intercettare dati riservati prima che tornino in forma cifrata sul disco.
La posizione di Microsoft e le critiche dei ricercatori
Microsoft non considera questo comportamento una vulnerabilità critica. La posizione ufficiale è che un eventuale accesso alla memoria del browser richiede comunque una compromissione preventiva del dispositivo e privilegi adeguati. Secondo l’azienda guidata da Satya Nadella, il rischio principale non sarebbe il password manager di Edge in sé, ma la presenza di malware già operativo in locale con accesso ai processi utente.
La questione resta però oggetto di critiche feroci da parte della comunità di sicurezza. Mantenere grandi quantità di credenziali già decifrate in RAM amplia inevitabilmente il raggio d’azione per attività di memory scraping e credential dumping, trasformando il browser in un obiettivo particolarmente appetibile per chi ha già un piede dentro al sistema.
