Chi salva le password dentro Microsoft Edge potrebbe esporsi a un rischio meno visibile, ma importante per la sicurezza quotidiana.
La questione riguarda il modo in cui il browser gestirebbe le credenziali memorizzate dagli utenti, cioè quelle usate per accedere a siti, servizi online, caselle email, social network e piattaforme di lavoro.
Secondo la ricostruzione tecnica emersa nelle ultime ore, Edge caricherebbe in memoria le password salvate già all’avvio del browser, anche quando l’utente non visita i siti collegati a quelle credenziali. Il dato più delicato è che queste informazioni resterebbero disponibili in chiaro nella memoria del processo per tutta la durata della sessione.
Perché il comportamento di Edge fa discutere
Il caso nasce dalla segnalazione di un ricercatore di sicurezza, che ha analizzato il comportamento di diversi browser basati su Chromium. Edge, pur condividendo la stessa base tecnica di Chrome, gestirebbe le credenziali in modo diverso: invece di decifrare una password solo quando serve per il riempimento automatico, le renderebbe disponibili subito in memoria locale.
Microsoft avrebbe indicato questo comportamento come una scelta legata alla rapidità di accesso, sostenendo che un attacco richiederebbe già privilegi elevati sul dispositivo. È un dettaglio importante, perché non si parla di una falla sfruttabile semplicemente visitando un sito qualsiasi. Per arrivare a quelle informazioni, un malware o un aggressore dovrebbe trovarsi già in una posizione molto avanzata sul computer della vittima.
Il rischio vero riguarda i malware che rubano credenziali
Il problema, però, non va liquidato come irrilevante. Negli attacchi moderni sono sempre più diffusi gli infostealer, malware progettati proprio per cercare password, cookie di sessione, dati del browser e accessi salvati. In questo scenario, trovare molte credenziali già disponibili in chiaro può rendere più semplice il lavoro di chi ha già compromesso il sistema operativo.
Per un utente comune la differenza può sembrare tecnica, ma l’effetto è concreto. Se un computer viene infettato, le password salvate nel browser possono diventare un bersaglio più immediato. Non riguarda solo l’account Microsoft o la posta elettronica: dentro un browser spesso finiscono anche credenziali per banca, servizi pubblici, strumenti di lavoro, negozi online e profili personali.
Come proteggersi senza farsi prendere dal panico
La prima misura sensata è evitare di usare il browser come deposito principale delle password. Un gestore dedicato, protetto da una password principale robusta e possibilmente da autenticazione a due fattori, offre in genere un livello di controllo migliore. Non elimina ogni rischio, ma riduce l’esposizione delle credenziali rispetto al salvataggio automatico nel browser.
Conviene anche controllare le password già memorizzate in Edge e rimuovere quelle più delicate, soprattutto per banca, email principale, account di lavoro e servizi collegati ai pagamenti. Dove possibile, è utile attivare la verifica in due passaggi, perché anche una password rubata diventa meno efficace se l’accesso richiede un secondo controllo sul telefono personale o su un’app di autenticazione.
Resta poi la regola più semplice: tenere Windows aggiornato, non installare software da fonti dubbie, diffidare di allegati e link sospetti, usare un antivirus attivo e controllare periodicamente le estensioni del browser. La vicenda Edge ricorda una cosa spesso sottovalutata: la comodità del riempimento automatico è utile, ma quando si parla di password importanti vale la pena sacrificare qualche secondo in più per avere maggiore protezione.
