Edge carica le password in chiaro in RAM: è by design
Il 4 maggio 2026, il SANS Internet Storm Center ha pubblicato un'analisi che ha fatto il giro della comunità di sicurezza mondiale: Microsoft Edge memorizza tutte le password in chiaro nella RAM fin dall'avvio, anche senza che l'utente visiti i siti associati a quelle credenziali. La segnalazione arriva dal ricercatore di sicurezza offensiva Tom Jøran Sønstebyseter Rønning (Statnett SF, Norvegia), che ha pubblicato su GitHub il proof-of-concept EdgeSavedPasswordsDumper. Chiunque — o qualsiasi malware — con i privilegi dell'utente corrente può estrarre username e password in pochi secondi. La risposta di Microsoft: comportamento by design, nessuna correzione prevista.
- Edge decifra tutte le password salvate all'avvio e le mantiene in chiaro nella RAM per tutta la sessione.
- Con un dump della memoria del processo Edge, le credenziali sono estraibili in testo leggibile senza privilegi elevati.
- Chrome, Firefox e Brave non presentano lo stesso comportamento: decrittano le credenziali solo quando necessario.
- Microsoft ha classificato il comportamento come by design senza annunciare correzioni.
- La mitigazione immediata: abbandonare il gestore password di Edge e adottare una soluzione dedicata con 2FA.
Come Edge gestisce le password in memoria
I browser moderni salvano le credenziali in un database locale cifrato. In ambiente Windows, Edge utilizza la Data Protection API (DPAPI), un meccanismo del sistema operativo che lega la cifratura all'identità dell'account utente attivo. Questo protegge efficacemente il database Login Data su disco da accessi offline: senza l'account corretto, i dati restano illeggibili.
Il problema emerge durante la sessione attiva. Quando Edge viene avviato, il browser decifra l'intero vault delle password salvate e lo carica nella memoria del processo principale, dove rimane in formato leggibile per tutta la sessione — anche se l'utente non ha visitato nessuno dei siti associati a quelle credenziali. Le password sono già in RAM, pronte per essere lette da chiunque abbia accesso al processo.
DPAPI lega la cifratura all'identità utente del sistema operativo: un malware eseguito con i privilegi standard dell'utente può accedere ai dati senza rompere alcuna chiave crittografica. È uno scenario centrale nel credential dumping, reso noto da framework come Mimikatz, e che qui si applica direttamente a Edge senza necessità di privilegi di amministratore.
Il dump pratico: estrarre le credenziali in tre passi
Rob VandenBrink del SANS Internet Storm Center ha replicato il comportamento con una procedura elementare:
- Aprire Task Manager (CTRL+MAIUSC+ESC), espandere i processi Edge, fare clic destro sul sottoprocesso Browser → Crea file di dump della memoria.
- Scaricare Strings da Microsoft Sysinternals (strumento ufficiale Microsoft).
- Eseguire:
strings -n 8 msedge.DMP | find "comhttps"per ottenere un elenco leggibile di URL, username e password.
Il file di dump generato subito dopo l'apertura di Edge — senza aver visitato nessun sito — conteneva tutte le credenziali salvate in formato leggibile. In un test documentato, il dump occupava circa 670 MB. L'ironia sottolineata da VandenBrink: per visualizzare le stesse credenziali nell'interfaccia del browser, Edge richiede l'autenticazione biometrica via Windows Hello. Ma i dati sono già in chiaro in RAM, bypassando completamente quella protezione.
Edge vs Chrome e Firefox: password in chiaro nella RAM a confronto
Il comportamento di Edge non è universale tra i browser Chromium-based. I test di Rønning hanno evidenziato differenze strutturali significative:
| Browser | Decifratura password | Persistenza in RAM | Protezione aggiuntiva |
|---|---|---|---|
| Microsoft Edge | All'avvio, vault completo | Tutta la sessione | Windows Hello (solo UI) |
| Google Chrome | Just-in-time | Solo durante autocompletamento | App Bound Encryption + Windows Hello |
| Firefox | Just-in-time | Solo durante autocompletamento | Password principale opzionale |
| Brave | Just-in-time | Solo durante autocompletamento | Eredita da Chromium |
La differenza chiave è nell'approccio architetturale. Come analizzato nella nostra copertura di come Chrome 146 si difende dagli infostealer con il meccanismo DBSC, Google ha introdotto misure specifiche per limitare l'esposizione delle credenziali in memoria. Edge, al contrario, privilegia la velocità di autocompletamento a scapito della superficie di attacco in RAM.
La posizione di Microsoft: comportamento by design
Rønning ha notificato Microsoft prima della divulgazione pubblica, seguendo i principi del responsible disclosure. La risposta ufficiale dell'azienda è stata la seguente:
“L'accesso ai dati del browser, come descritto nello scenario segnalato, presuppone che il dispositivo sia già compromesso. Le scelte di progettazione in questo ambito implicano un equilibrio tra prestazioni, usabilità e sicurezza. I browser leggono i dati delle password in memoria per consentire agli utenti di effettuare l'accesso in modo rapido e sicuro: si tratta di una funzionalità prevista dell'applicazione.”
La posizione di Redmond ha suscitato critiche diffuse. Il punto contestato non è se il sistema sia già compromesso, ma quanto peggiora la compromissione trovare tutte le password già decifrate in RAM. Mantenere un vault completo di credenziali in formato leggibile per tutta la sessione amplia significativamente il raggio di impatto di qualsiasi infostealer o attacco di memory scraping attivo sul sistema.
Vale la pena ricordare che il problema non riguarda solo postazioni personali: in ambienti aziendali con sessioni Remote Desktop Services o terminal server condivisi, un attaccante con accesso amministrativo può leggere la memoria di tutti i processi Edge degli utenti connessi simultaneamente. Un tema che si intreccia con la più ampia questione della superficie di attacco nascosta su Windows 11 che spesso le organizzazioni sottovalutano.
Come proteggerti subito
Se utilizzi il password manager integrato di Edge, queste sono le azioni prioritarie:
- Migra le credenziali su un password manager dedicato. Esporta le password da Edge (Impostazioni → Password → Esporta) e importale su Bitwarden (open source, gratuito), 1Password o KeePass XC. Questi strumenti non caricano preventivamente il vault in RAM.
- Abilita il 2FA su tutti i servizi critici. Anche se un attaccante estrae la password in chiaro dal dump, il secondo fattore rende le credenziali inutilizzabili senza accesso al secondo dispositivo.
- Limita i privilegi degli account utente. Un malware eseguito con account standard ha comunque accesso alla memoria dei processi dello stesso utente, ma la riduzione dei privilegi blocca altri vettori di movimento laterale.
- Valuta l'adozione di un browser alternativo per la gestione delle sessioni con credenziali sensibili, come Chrome (con App Bound Encryption) o Firefox (con password principale abilitata).
🎬 Vuoi approfondire questo argomento?
Ho realizzato un video dedicato su YouTube @tuttelevitediunmaker dove analizzo la sicurezza dei password manager nei browser in modo pratico e visivo. Se vuoi supportare questo progetto e accedere a contenuti esclusivi, trovi tutto su Patreon.
👉 YouTube | Patreon
#tuttelevitediunmaker
FAQ — Domande frequenti
Microsoft Edge è sicuro per salvare le password?
No, non è la scelta più sicura. Edge carica tutte le password in chiaro nella RAM all'avvio e le mantiene per tutta la sessione. Qualsiasi malware con i privilegi dell'utente corrente può estrarle senza rompere alcuna cifratura. Per la gestione sicura delle credenziali è preferibile un password manager dedicato come Bitwarden o KeePass XC, combinato con l'autenticazione a due fattori su ogni account critico.
Cos'è il credential dumping e perché riguarda Edge?
Il credential dumping è una tecnica offensiva che estrae credenziali dalla memoria di sistema o dei processi applicativi. Edge rende questo attacco particolarmente efficace perché mantiene l'intero vault delle password già decifrato nella propria memoria di processo per tutta la sessione: un infostealer o un attaccante con accesso al sistema non deve rompere alcuna chiave crittografica, ma semplicemente leggere la RAM del processo.
Chrome e Firefox hanno lo stesso problema di Edge?
No. Secondo i test del ricercatore Tom Jøran Sønstebyseter Rønning, Chrome e Brave decifrano le credenziali solo nel momento in cui sono necessarie per l'autocompletamento, rimuovendole subito dopo dalla memoria. Firefox adotta un comportamento analogo. Edge è l'unico browser Chromium-based testato che carica l'intero vault all'avvio e lo mantiene persistentemente in chiaro in RAM.
Come posso verificare se le mie password sono esposte in Edge?
Apri Edge, avvia Task Manager (CTRL+MAIUSC+ESC), fai clic destro sul sottoprocesso “Browser” di Edge e seleziona “Crea file di dump della memoria”. Con lo strumento Strings di Microsoft Sysinternals e il comando strings -n 8 msedge.DMP | find "comhttps" otterrai un elenco leggibile delle credenziali presenti in RAM. Se stai usando il gestore password di Edge, troverai le tue credenziali esposte in chiaro.
Conclusione
Il caso Edge-RAM riapre una questione che la comunità di sicurezza discute da anni: i password manager integrati nei browser offrono comodità, ma non sono progettati con la stessa priorità sulla sicurezza dei gestori dedicati. Il fatto che Microsoft abbia classificato la persistenza dell'intero vault di password in chiaro in RAM come “by design” è una scelta architetturale che ogni utente e ogni amministratore IT dovrebbe conoscere. Il tuo gestore password è davvero così sicuro come credi?
#tuttelevitediunmaker
Professionista IT | Specialista AI & Cybersecurity | Creator YouTube
Professionista IT con esperienza nel settore utility ed energia, specializzato in intelligenza artificiale e cybersecurity. Condivide analisi tecniche approfondite sul blog e sul canale YouTube @tuttelevitediunmaker, con contenuti esclusivi su Patreon.
