Microsofts Edge maakt weliswaar gebruik van de Chromium-engine van Google, maar de wachtwoordmanagers in de twee browsers verschillen veel van elkaar. Waar het bij Google veel meer gekoppeld is aan een Google-account, lijkt het wachtwoordbeheer in Edge een doodgewone functie in de browser te zijn zonder een fancy naam zoals Lockwise. Desondanks kun je wachtwoorden synchroniseren, is er een losstaande app beschikbaar en controleert de browser of er wachtwoorden zijn gestolen bij een datalek.
De software
Aanvankelijk was de wachtwoordmanager in Edge alleen een functie in de browser, maar inmiddels heeft Edge steeds meer weg van een volledige wachtwoordbeheerder. Dat komt met name door de Autofill-extensie die Microsoft eind vorig jaar uitbracht voor Chrome. Ook is een Autofill-functie toegevoegd aan de bestaande authenticatieapp Microsoft Authenticator. Daardoor is de wachtwoordmanager ook op andere platforms te gebruiken, waarbij de credentials worden gesynchroniseerd via het Microsoft-account van een gebruiker. Er is geen extensie beschikbaar voor Firefox, Safari of andere browsers; alleen Chrome wordt ondersteund.
Hoe kun je de software beveiligen?
Je kunt in Edge instellen om wachtwoorden niet automatisch in te laten vullen, maar dat is de enige echte beveiliging die je op deze manager kunt zetten. Daarnaast kun je de Microsoft Authenticator-app vergrendelen. Dat kan met een pincode of biometrie. Die vergrendeling staat standaard uit voor individuele gebruikers.
Opvallend genoeg kun je bij Edge nu nog geen gebruik maken van een masterwachtwoord. Bij bijvoorbeeld Firefox' Lockwise kun je instellen dat je vóór het automatisch invullen van een wachtwoord ook eerst het masterwachtwoord moet opgeven, maar Microsoft maakt de bewuste keus dat niet aan te bieden. In een faq zegt het bedrijf dat dat 'een compromis is tussen gemak en dreigingsbeperking'. "Als browserwachtwoorden opgeslagen worden op de schijf, is de decryptiesleutel beschikbaar voor ieder proces op je apparaat, inclusief iedere lokale malware", schrijft Microsoft. "Zelfs als wachtwoorden in een kluis versleuteld worden met een mastersleutel kunnen ze worden ontsleuteld als ze in het geheugen van de browser staan nadat je de kluis ontsleutelt." Volgens Microsoft zijn masterwachtwoorden 'geen wondermiddel' en kan zo'n wachtwoord bij een lokale aanval makkelijk worden omzeild.
Wel heeft Microsoft onlangs de toezegging gedaan dat er in 'een toekomstige release' van Edge alsnog een vorm van een masterwachtwoord wordt toegevoegd. Het is niet bekend wanneer of in welke vorm dat gebeurt.
Wat voor wachtwoorden kun je aanmaken?
Een van de belangrijkste functies van wachtwoordmanagers, het genereren van een wachtwoord, werkt niet zomaar op Edge. Je kunt dat alleen maar gebruiken als je Password Sync hebt aanstaan. Dat kan een dealbreaker zijn voor sommige gebruikers die de wachtwoordmanager alleen lokaal willen gebruiken.
/i/2004529436.png?f=imagenormal)
Als je die functie eenmaal hebt ingesteld, is de generator prima. Die maakt wachtwoorden van vijftien of zestien tekens. Dat is altijd een combinatie van kleine en hoofdletters, cijfers, en zelfs leestekens. Je kunt ook op een knop klikken om een nieuw wachtwoord te genereren, wat niet kan bij Lockwise. In vergelijking met thirdpartywachtwoordmanagers zijn de opties nog steeds beperkt; je kunt geen gewenste lengte instellen of bepalen welke tekens wel en niet in het wachtwoord mogen komen.
Kun je naast wachtwoorden ook extra velden opslaan?
Wachtwoorden zijn het enige dat Edge opslaat.
Kun je wachtwoorden makkelijk delen?
Je kunt wachtwoorden niet delen met andere gebruikers.
Kun je wachtwoorden im- en exporteren?
Je kunt wachtwoorden in Edge makkelijk zowel im- als exporteren. Een export bestaat uit een leesbaar csv-bestand met daarin gebruikersnamen en wachtwoorden, maar verder geen informatie zoals een dateCreated.
Importeren gaat eveneens makkelijk; je kunt andere csv-bestanden van bestaande wachtwoordmanagers invoeren. Er is een dropdownmenu waarmee je exports van Internet Explorer, Edge Legacy of bladwijzers en favorieten uit een HTML-bestand kunt importeren. Daarnaast is er een menu waarmee je credentials uit Firefox kunt importeren. Je kunt daarbij kiezen of je naast wachtwoorden ook de surfgeschiedenis of bladwijzers uit die browser wilt importeren.
Wat weten we over de beveiliging van Edge?
Microsoft heeft redelijk wat informatie over de beveiliging van de wachtwoordmanager online staan. Daarin beschrijft het bedrijf hoe wachtwoorden ook lokaal worden versleuteld en opgeslagen, in tegenstelling tot Firefox dat dat alleen doet als je ze deelt via Sync. Heel veel details geeft Microsoft niet, maar het zegt wel dat er een AES-256-encryptie wordt gebruikt die vervolgens per besturingssysteem op verschillende plekken wordt opgeslagen.
Op Windows worden Edge-wachtwoorden opgeslagen via Dpapi, een functie die blocks met data veilig kan opslaan. Op macOS worden wachtwoorden in Keychain opgeslagen en op Linux in de Gnome Keyring of in KWallet. Opvallend is dat Microsoft in zijn blogpost erkent dat sommige beveiligingsexperts daar een mogelijk risico in zien. Dat valt volgens Microsoft 'buiten het threatmodel'.
Kun je zelf de vorm van versleuteling kiezen?
Je hebt niets te zeggen over welke versleuteling Edge gebruikt of welke hashmogelijkheden er zijn.
Welke vormen van tweestapsverificatie zijn mogelijk?
Tweestapsverificatie moet je instellen op je Microsoft-account en niet in de browser zelf, al moet je voordat je wachtwoorden im- of exporteert wel altijd je lokale Windows-wachtwoord opgeven. Het Microsoft-account kan ook op veel manieren worden beveiligd via 2fa. Je kunt dat instellen via hotp door een code per e-mail óf sms te krijgen, of je kunt een totp-authenticatieapp gebruiken. Microsoft heeft een eigen authenticator. Ook kun je een beveiligingssleutel zoals een Yubikey koppelen.
Je moet bij Edge minimaal één hotp-2fa-optie inschakelen
Een bottleneck is dat je bij Microsoft verplicht altijd een van de twee mogelijke hotp-opties als back-up moet instellen. Alléén een authenticatieapp of een Yubikey instellen is geen optie.
Heeft Edge een bugbountyprogramma?
Het bugbountyprogramma van Microsoft heeft een aparte sectie voor Edge. Daar valt dus ook de wachtwoordmanager onder, al wordt die niet expliciet genoemd. Beloningen variëren van duizend dollar voor een spoofingaanval tot dertigduizend dollar voor een sandbox escape en Microsoft zegt dat in unieke gevallen hogere beloningen beschikbaar zijn.
Controleert Edge op zwakke en gestolen wachtwoorden?
Net als de wachtwoordgenerator is ook de controle op zwakke en gestolen wachtwoorden relatief recent. Sinds Edge 88 heeft de browser een functie om te controleren op zwakke wachtwoorden. In tegenstelling tot wat Microsoft over de versleuteling van wachtwoorden schrijft, is het bedrijf erg open over hoe dat werkt. In een blogpost beschrijft Microsoft hoe die functie, genaamd Password Monitor, werkt. De browser controleert alle wachtwoorden tegenover 'een grote database van bekende uitgelekte wachtwoorden'. Het is niet bekend welke lijst dat is. Tweakers schreef eerder al over zulke datalekdatabases, waarvan er naast Have I Been Pwned veel andere bestaan. Misschien stelt Microsoft die database zelf samen uit openbare of semiopenbare bronnen. Google doet dat ook.
Vervolgens wordt gebruikgemaakt van homomorfe encryptie om de wachtwoorden in Edge te vergelijken met die in de database, maar dan terwijl ze versleuteld blijven. Er is hier te weinig ruimte om heel diep in te gaan op die ingewikkelde encryptietechnologie, maar Tweakers schreef eerder deze week een achtergrondartikel over homomorfe encryptie. Met Password Monitor kunnen gebruikers zien of hun credentials voorkomen in eerdere datalekken. Edge kijkt dus naar de combinatie van e-mailadres en wachtwoord, en niet alleen naar uitgelekte e-mailadressen, zoals in Have I Been Pwned. Daarmee heeft Edge een streepje voor op Firefox' Lockwise, dat wel alleen op uitgelekte e-mailadressen controleert.
Gebruikers kunnen instellen dat ze een melding krijgen als hun opgeslagen inloggegevens in een nieuwe breach voorkomen. Ook is het mogelijk een waarschuwing in te stellen als je een website bezoekt waarvan de opgeslagen credentials uitgelekt zijn. Een bezoekje aan LinkedIn levert dan waarschijnlijk een waarschuwing op.
Waar wordt data opgeslagen?
Wachtwoorden worden, zoals we hierboven al schreven, in eerste instantie lokaal in de browser opgeslagen. Als je je Microsoft-account gebruikt om ze te synchroniseren, gaan de wachtwoorden wel naar een server. In de wirwar van Microsoft-diensten, software, applicaties en Office-suites is het moeilijk te vinden waar die data staat. Ook in het privacy-whitepaper over Edge staat alleen maar dat de wachtwoorden op 'versleutelde Microsoft-servers' staan.
Aanvankelijk hield Microsoft zich aan het Privacy Shield om gegevens van EU-inwoners uit te wisselen met de Verenigde Staten. Daar is het echter mee gestopt, schrijft het bedrijf.
:strip_icc():strip_exif()/i/2004432442.jpeg?f=fpa_thumb)
/i/2004323840.png?f=fpa_thumb)
/i/2004845510.png?f=fpa)
/i/2004857332.png?f=fpa)
/i/2004647002.png?f=fpa)
/i/2004790848.png?f=fpa)
:strip_exif()/i/2004668670.jpeg?f=fpa)
:strip_exif()/i/2001720959.jpeg?f=fpa)
/i/2000902263.png?f=fpa)
/i/2001841111.png?f=fpa)