Microsoft Edge는 강력한 Chromium 기반 브라우저이며, 내장된 비밀번호 관리자는 보안성이 뛰어나고 통합된 솔루션으로 홍보되고 있습니다.
하지만 현재의 실행 중(runtime) 동작 방식은 도입을 저해하는 요소가 되고 있습니다. 저장된 비밀번호가 실제 사용되지 않는 동안에도 전체 Edge 세션 동안 평문(cleartext) 상태로 유지되기 때문입니다.
이는 자격 증명을 필요할 때만 복호화하고 사용 후 즉시 삭제하는 Chromium 및 Chrome의 모델과는 차이가 있습니다.
중요한 점은 장치가 "완전히 장악(fully compromised)"될 필요가 없다는 것입니다. 일반적인 Windows API와 도구를 사용하는 표준 사용자 모드 프로세스만으로도(이러한 방식은 흔히 기존 안티바이러스 탐지를 우회함), 실행 중인 Edge 프로세스에서 저장된 모든 자격 증명을 추출할 수 있습니다.
Chromium과 Chrome은 이미 DPAPI(사용자 범위), 앱 바인딩 암호화(App-Bound Encryption), 그리고 프로세스 간 보호 기능을 결합하여, 비밀번호가 요청 시에만 복호화되고 실행 중에 상시 노출되지 않도록 이 문제를 해결하고 있습니다.
요청 사항: Edge 비밀번호 관리자의 실행 중 동작을 Chromium 모델과 일치시켜 주십시오.
- 비밀번호를 필요할 때만 복호화할 것
- 사용하지 않는 자격 증명을 평문 상태로 유지하지 말 것
이를 통해 사용자 경험에 영향을 주지 않으면서도 Chromium과의 심각한 보안 격차를 해소하고, 실제 도입을 가로막는 중요한 장애물을 제거할 수 있습니다.