Microsoft Edge Kennwort-Manager-Sicherheit
Hinweis
Microsoft Edge for Business ist jetzt in der stabilen Edge-Version 116 verfügbar! Erfahren Sie mehr über die neue, dedizierte Arbeitserfahrung mit nativer Sicherheit auf Unternehmensniveau, Produktivität, Verwaltbarkeit und integrierter KI.
Die häufig gestellten Fragen in diesem Artikel beschreiben, wie der integrierte Kennwort-Manager von Microsoft Edge Sicherheit für Benutzerkennwörter bietet.
Wie werden Kennwörter in Microsoft Edge gespeichert und wie sicher ist dieser Ansatz?
Microsoft Edge speichert Kennwörter, die auf dem Datenträger verschlüsselt sind. Sie werden mit AES verschlüsselt, und der Verschlüsselungsschlüssel wird in einem Betriebssystemspeicherbereich gespeichert. Diese Technik wird als lokale Datenverschlüsselung bezeichnet. Obwohl nicht alle Daten des Browsers verschlüsselt sind, werden vertrauliche Daten wie Kennwörter, Gutschriften Karte Nummern und Cookies verschlüsselt, wenn sie gespeichert werden.
Der Microsoft Edge Kennwort-Manager verschlüsselt Kennwörter, sodass nur auf sie zugegriffen werden kann, wenn ein Benutzer beim Betriebssystem angemeldet ist. Selbst wenn ein Angreifer über Administratorrechte oder Offlinezugriff verfügt und auf die lokal gespeicherten Daten zugreifen kann, ist das System so ausgelegt, dass es verhindert, dass der Angreifer die Klartextkennwörter eines Benutzers erhält, der nicht angemeldet ist.
Die Möglichkeit, die Kennwörter eines anderen Benutzers zu entschlüsseln, besteht darin, dass dieser Benutzer angemeldet war und der Angreifer das Kennwort des Benutzers hatte oder den Domänencontroller kompromittiert hat.
Informationen zur Verschlüsselungsmethode
Der Verschlüsselungsschlüssel des Profils wird mithilfe von OSCrypt von Chromium geschützt und verwendet die folgenden plattformspezifischen Betriebssystemspeicherorte:
Auf Windows ist der Speicherbereich DPAPI.
Auf dem Mac ist der Speicherbereich der Schlüsselbund.
Unter iOS ist der Speicherbereich der iOS-Schlüsselbund.
Bei Linux lautet der Speicherbereich "Vault Keyring" oder "KWallet".
Unter Android gibt es keinen Schlüsselspeicherbereich auf Systemebene für das verschlüsselte AES128-Kennwort.
Alle diese Speicherbereiche verschlüsseln den AES-Schlüssel mithilfe eines Schlüssels, auf den einige oder alle Prozesse zugreifen können, die als Benutzer ausgeführt werden. Dieser Angriffsvektor wird in Blogs häufig als mögliches "Exploit" oder "Sicherheitsrisiko" bezeichnet. Dies ist ein falsches Verständnis des Bedrohungsmodells und des Sicherheitsstatus des Browsers.
Physisch lokale Angriffe und Schadsoftware befinden sich jedoch außerhalb des Bedrohungsmodells, und unter diesen Bedingungen wären verschlüsselte Daten anfällig. Wenn Ihr Computer mit Schadsoftware infiziert ist, kann ein Angreifer entschlüsselten Zugriff auf die Speicherbereiche des Browsers erhalten. Der Code des Angreifers, der als Ihr Benutzerkonto ausgeführt wird, kann alles tun, was Sie tun können.
Warum Daten lokal verschlüsseln? Warum speichern Sie den Verschlüsselungsschlüssel nicht an anderer Stelle, oder erschweren Sie den Zugriff?
Internetbrowser (einschließlich Microsoft Edge) sind nicht mit Schutzmaßnahmen zum Schutz vor Bedrohungen ausgestattet, bei denen das gesamte Gerät aufgrund von Schadsoftware kompromittiert wird, die als Benutzer auf dem Computer ausgeführt wird. Programme wie Microsoft Defender SmartScreen und Schutzmaßnahmen auf Betriebssystemebene wie Windows Defender sollen jedoch sicherstellen, dass das Gerät erst gar nicht kompromittiert wird.
Trotz seiner Unfähigkeit, sich vor voll vertrauenswürdiger Schadsoftware zu schützen, ist die lokale Datenverschlüsselung in bestimmten Szenarien nützlich. Wenn ein Angreifer beispielsweise eine Möglichkeit findet, Dateien vom Datenträger zu stehlen, ohne Code auszuführen, oder einen Laptop gestohlen hat, der nicht mit full Disk Encryption geschützt ist, erschwert die lokale Datenverschlüsselung dem Dieb das Abrufen der gespeicherten Daten.
Empfehlen Sie Kennwörter in Microsoft Edge zu speichern?
Benutzer, die sich auf den integrierten Kennwort-Manager von Microsoft Edge verlassen können, können (und tun) stärkere und eindeutige Kennwörter mehr verwenden, da sie sich nicht alle merken und sie so oft eingeben müssen. Und, da der Kennwort-Manager Kennwörter nur auf den Websites automatisch ausfüllt, zu denen sie gehören, ist die Wahrscheinlichkeit geringer, dass Benutzer Opfer eines Phishing-Angriffs werden.
Hinweis
Branchenberichte zeigen, dass 80 % der Onlinevorfälle mit Phishing zusammenhängen und mehr als 37 % der nicht geschulten Benutzer Phishing-Tests nicht bestehen.
Der Kennwort-Manager von Microsoft Edge ist bequem und einfach verteilt, was zu einer verbesserten Sicherheit beiträgt. In Kombination mit der Synchronisierung können Sie alle Ihre Kennwörter auf allen Ihren Geräten abrufen, und es ist einfach, für jede Website ein anderes Kennwort zu verwenden. Sie können lange und komplexe Kennwörter verwenden, die Sie sich nicht für jede Website merken müssen, und den Aufwand umgehen, jedes Mal eine komplexe Zeichenfolge einzugeben. Die Benutzerfreundlichkeit des Kennwort-Manager bedeutet, dass das Risiko geringer ist, Opfer eines Phishing-Angriffs zu werden.
Die Verwendung eines Kennwort-Managers, der auf die Anmeldesitzung des Betriebssystems des Benutzers festgelegt ist, bedeutet jedoch auch, dass ein Angreifer in dieser Sitzung sofort alle gespeicherten Kennwörter des Benutzers abrufen kann. Ohne einen Kennwort-Manager, von dem gestohlen werden kann, müsste ein Angreifer Tastaturanschläge nachverfolgen oder übermittelte Kennwörter überwachen.
Die Entscheidung, ob ein Kennwort-Manager verwendet werden soll, beruht auf der Bewertung der vielen Vorteile, die wir beschrieben haben, im Vergleich zu der Möglichkeit, dass das gesamte Gerät kompromittiert wird. Für die meisten Bedrohungsmodelle ist die Verwendung des Microsoft Edge Kennwort-Managers die empfohlene Option.
Hinweis
Wenn ein Unternehmen beunruhigt ist, dass ein bestimmtes Kennwort oder eine Website aufgrund eines gestohlenen Kennworts kompromittiert wird, sollten zusätzliche Vorsichtsmaßnahmen ergriffen werden. Einige effektive Lösungen, die bei der Behebung dieser Art von Vorfällen helfen, sind Single Sign-On (SSO) über Active Directory, Microsoft Entra-ID oder einen Drittanbieter. Andere Lösungen sind 2FA (z. B . MS Authenticator) oder WebAuthN.
Sollte ein Kennwort-Manager von einer Organisation aktiviert werden?
Die einfache und einfache Antwort lautet: Ja, verwenden Sie den Kennwort-Manager des Browsers.
Eine umfassendere Reaktion bedeutet, dass Sie über detaillierte Kenntnisse über Ihr Bedrohungsmodell verfügen, da die Sicherheitsoptionen und -Möglichkeiten je nach verschiedenen Bedrohungsmodellen variieren. Einige relevante Fragen, die Sie berücksichtigen sollten, wenn Sie überlegen, ob Sie den Kennwort-Manager für Ihre Organisation aktivieren sollten, sind:
Welche Art von Angreifern befürchten Sie?
Bei welcher Art von Websites melden sich Ihre Benutzer an?
Wählen Ihre Benutzer sichere, eindeutige Kennwörter aus?
Sind die Konten Ihrer Benutzer mit 2FA geschützt?
Welche Art von Angriffen ist am wahrscheinlichsten?
Wie schützen Sie Ihre Unternehmensgeräte vor Schadsoftware?
Was ist die persönliche Toleranz Ihrer Benutzer für Unannehmlichkeiten?
Berücksichtigen Sie die Auswirkungen der Datensynchronisierung.
Es ist wichtig, die Sicherheit von Benutzerdaten bei der Synchronisierung mit verschiedenen Benutzergeräten und die Kontrolle zu berücksichtigen, die der organization für die Synchronisierung von Daten mit dem automatischen Ausfüllen hat.
Datensynchronisierung und Microsoft Edge:
Die Datensynchronisierung kann organisationsweit nach Bedarf aktiviert oder deaktiviert werden.
Datensicherheit während der Übertragung und im Ruhezustand in der Cloud: Alle synchronisierten Daten werden bei der Übertragung über HTTPS verschlüsselt, wenn sie zwischen dem Browser und Microsoft-Servern übertragen werden. Die synchronisierten Daten werden auch in einem verschlüsselten Zustand auf Microsoft-Servern gespeichert. Vertrauliche Datentypen wie Adressen und Kennwörter werden vor der Synchronisierung auf dem Gerät weiter verschlüsselt. Wenn Sie ein Geschäfts-, Schul- oder Unikonto verwenden, werden alle Datentypen weiter verschlüsselt, bevor sie mit Microsoft Purview Information Protection synchronisiert werden.
Welche Empfehlung gibt die Microsoft-Sicherheitsbaseline für den Kennwort-Manager?
Das Microsoft-Sicherheitsteam hat die Empfehlung entfernt, den integrierten Kennwort-Manager (Speichern von Kennwörtern im Kennwort-Manager aktivieren) in Microsoft Edge Version 114 zu deaktivieren. Das Team hat die Einstellung basierend auf der Verfügbarkeit mehrerer neuer Features, die die sicherheitsrelevanten Kompromisse ändern, die durch den verbesserten Kennwort-Manager von Microsoft Edge eingeführt wurden, in Nicht konfiguriert geändert. Jedes Unternehmen sollte bei der Entscheidung, ob der Kennwort-Manager konfiguriert werden soll, sein eigenes Risikoprofil auswerten. Weitere Informationen finden Sie unter Sicherheitsbaseline für Microsoft Edge Version 114.
Können bösartige Erweiterungen Zugriff auf Kennwörter erhalten?
Eine Erweiterung mit der Berechtigung zur Interaktion mit einer Seite kann grundsätzlich auf alle Elemente von dieser Seite zugreifen, einschließlich eines automatisch ausgefüllten Kennworts. Ebenso kann eine bösartige Erweiterung den Inhalt von Formularfeldern und Netzwerkanforderungen/-antworten ändern, um die Autorität des aktuellen Benutzeranmeldekontexts zu missbrauchen.
Microsoft Edge bietet jedoch eine umfangreiche Bandbreite von Richtlinien, die eine genaue Kontrolle über installierte Erweiterungen ermöglichen. Die Verwendung der Richtlinien in der folgenden Tabelle ist zum Schutz von Unternehmensdaten erforderlich.
| Richtlinie | Beschriftung |
|---|---|
| BlockExternalExtensions | Blockiert die Installation externer Erweiterungen |
| ExtensionAllowedTypes | Konfigurieren von zulässigen Erweiterungstypen |
| ExtensionInstallAllowlist | Zulassen, dass bestimmte Erweiterungen installiert werden |
| ExtensionInstallBlocklist | Steuern, welche Erweiterungen nicht installiert werden können |
| ExtensionInstallForcelist | Steuern, welche Erweiterungen im Hintergrund installiert werden |
| ExtensionInstallSources | Konfigurieren von Erweiterungen und Installationsquellen für Benutzerskripts |
| ExtensionSettings | Konfigurieren der Erweiterungsverwaltungseinstellungen |
Wie schneidet der Microsoft Edge Kennwort-Manager im Vergeich mit einem Drittanbieterprodukt ab?
Die folgende Tabelle zeigt, wie der Microsoft Edge Kennwort-Manager im Vergleich mit Kennwort-Managern von Drittanbietern abschneidet.
| Kennwort-Manager eines Drittanbieters | Microsoft Edge Kennwort-Manager |
|---|---|
| Serversynchronisierung. Einige Produkte speichern Kennwörter in der Cloud, um alle Ihre Geräte zu synchronisieren. Dieses Feature ist hilfreich, aber es besteht ein Risiko, wenn der Clouddienst kompromittiert wird und Ihre Daten verfügbar gemacht werden. Bemerkungen: Das Risiko wird verringert, indem Kennwörter in der Cloud verschlüsselt werden und der Verschlüsselungsschlüssel auf Ihren Geräten gespeichert wird, damit Angreifer nicht auf den Schlüssel und Ihre Kennwörter gelangen. | Es besteht ein Cloud-Expositionsrisiko, da Kennwörter auf Windows-Geräten synchronisiert werden, auf denen Microsoft Edge installiert sind. Bemerkungen: Dieses Risiko wird durch die in diesem Artikel beschriebenen Schritte zur Datensicherheit verringert. |
| Vertrauensstellung. Es ist notwendig zu vertrauen, dass der Drittanbieter keine schädlichen Aktionen ausführt, z. B. das Senden Ihrer Kennwörter an eine andere Partei. Bemerkungen: Dieses Risiko kann verringert werden, indem der Quellcode überprüft wird (im Fall von Open-Source-Produkten), oder indem sie glauben, dass der Anbieter sich um seinen Ruf und umsatz kümmert. | Hinweise: Microsoft ist ein bekannter und vertrauenswürdiger Anbieter mit einer jahrzehntelangen Geschichte bei der Bereitstellung von Sicherheit und Produktivität auf Unternehmensniveau mit Ressourcen, die zum weltweiten Schutz Ihrer Kennwörter entwickelt wurden. |
| Lieferkettensicherheit. Es ist schwierig zu überprüfen, ob der Anbieter über sichere Lieferketten-/Build-/Releaseprozesse für den Quellcode verfügt. | Bemerkungen: Microsoft verfügt über stabile interne Prozesse, um ein minimales Risiko für quellcode zu gewährleisten. |
| kompromittierter/s Client oder Konto. Wenn ein Clientgerät oder Benutzerkonto kompromittiert wird, kann ein Angreifer die Kennwörter abrufen. Bemerkungen: Dieses Risiko wird für einige Kennwort-Manager verringert, bei denen der Benutzer ein Masterkennwort eingeben muss, das nicht lokal gespeichert ist, um die Kennwörter zu entschlüsseln. Ein Masterkennwort ist nur teilweise mindernd, da ein Angreifer Tastatureingaben lesen und das Masterkennwort abrufen kann, während es eingegeben wird, oder Kennwörter aus dem Prozessspeicher lesen kann, wenn er ein Formularfeld ausfüllt. | Hinweise: Microsoft bietet Schutzmaßnahmen auf Betriebssystemebene wie Windows Defender, um sicherzustellen, dass das Gerät erst gar nicht kompromittiert wird. Wenn jedoch ein Clientgerät kompromittiert wird, kann ein Angreifer die Kennwörter möglicherweise entschlüsseln. |
Hinweis
Produkte von Drittanbietern bieten möglicherweise Schutz vor zusätzlichen Bedrohungsmodellen, aber dies geht auf Kosten der Komplexität oder der Benutzerfreundlichkeit. Der Microsoft Edge-Kennwort-Manager ist so konzipiert, dass er eine komfortable und benutzerfreundliche Kennwortverwaltung bietet, die von IT-Administratoren mithilfe von Gruppenrichtlinie vollständig gesteuert werden kann und keine vertrauenswürdigen Drittanbieter erfordert.
Warum bietet Microsoft kein Masterkennwort zum Schutz der Daten an?
Wenn Browserkennwörter auf dem Datenträger verschlüsselt sind, steht der Verschlüsselungsschlüssel für jeden Prozess auf Ihrem Gerät zur Verfügung, einschließlich lokal ausgeführter Schadsoftware. Selbst wenn Kennwörter in einem "Tresor" mit einem master Schlüssel verschlüsselt werden, werden sie entschlüsselt, wenn sie im Speicherbereich des Browsers geladen werden, und können nach dem Entsperren des Tresors verwendet werden.
Ein "Masterkennwort"-Feature (das den Benutzer authentifiziert, bevor seine Daten automatisch ausgefüllt werden) bietet einen Kompromiss zwischen Benutzerfreundlichkeit und einer umfassenden Bedrohungsminderung. Insbesondere trägt es dazu bei, das Zeitfenster der Datenexposition gegen latente Schadsoftware oder physisch lokale Angreifer zu reduzieren. Ein Masterkennwort ist jedoch keine Patentlösung, und lokale Angreifer und dedizierte Schadsoftware haben verschiedene Strategien, um den Schutz eines Master-Kennworts zu umgehen.
Hinweis
Microsoft Edge bietet jetzt die Möglichkeit, die Authentifizierung vor dem automatischen Ausfüllen zu aktivieren. Dies bietet Benutzern eine zusätzliche Datenschutzebene und verhindert, dass ihre gespeicherten Kennwörter von niemandem außer ihnen verwendet werden. Weitere Informationen finden Sie unter Zusätzlicher Datenschutz für Ihre gespeicherten Kennwörter.
Kann sich die Verwendung eines Kennwort-Managers auf meinen Datenschutz auswirken?
Nein, nicht, wenn Schritte zum Schutz des Zugriffs auf Ihre gespeicherten Kennwörter ausgeführt werden.
Es gibt einen bekannten Exploit, den einige Werbetreibende verwenden, der gespeicherte Kennwörter verwendet, um Benutzer eindeutig zu identifizieren und nachzuverfolgen. Weitere Informationen finden Sie unter Anzeigenzielgeber pullen Daten aus dem Kennwort-Manager Ihres Browsers. Browser haben Schritte unternommen, um dieses Datenschutzproblem zu beheben. Mit der PasswordValueGatekeeper-Klasse kann der Zugriff auf die Kennwortfelddaten eingeschränkt werden, auch wenn der Browser für das automatische Ausfüllen beim Laden konfiguriert ist.
Diese Bedrohung zur Erfassung von Benutzerinformationen kann leicht durch Aktivieren der optionalen edge://flags/#fill-on-account-select-Funktion entschärft werden. Dieses Feature ermöglicht nur das Hinzufügen von Kennwörtern zu einem Formularfeld, nachdem der Benutzer explizit eine Anmeldeinformation ausgewählt hat, wodurch sichergestellt wird, dass Benutzer wissen, wer ihre Kennwörter empfängt.
Weitere Informationen
Microsoft Edge Enterprise-Angebotsseite
Warum Microsoft Edge auf Windows 10 sicherer als Chrome for Business ist
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für