Microsoft Edge torna al centro delle discussioni sulla sicurezza perché il browser gestirebbe le password salvate in un modo che molti esperti considerano rischioso.
Il punto non riguarda il salvataggio delle credenziali su disco, dove normalmente entrano in gioco sistemi di protezione e autenticazione, ma ciò che accade quando il browser viene aperto e quelle password finiscono nella memoria del computer.
Secondo la ricostruzione emersa dalle analisi di sicurezza, Edge caricherebbe le password salvate in memoria in chiaro all’avvio del browser. Questo avverrebbe anche se l’utente non visita i siti collegati a quelle credenziali e anche se le password non vengono usate durante la sessione. È un dettaglio tecnico, ma con conseguenze pratiche per chi usa il browser come gestore principale degli accessi.
Perché Microsoft parla di funzione prevista
Microsoft avrebbe spiegato che questo comportamento rientra nelle scelte dell’applicazione e non sarebbe considerato automaticamente una falla da correggere. La logica è legata a un equilibrio tra prestazioni, comodità e sicurezza: il browser deve poter accedere rapidamente alle credenziali per facilitare il login sui siti e rendere più fluida l’esperienza dell’utente.
La società sottolinea anche un aspetto importante: per leggere quei dati dalla memoria non basterebbe una normale navigazione online. Servirebbe un dispositivo già compromesso, oppure un accesso con privilegi elevati. In altre parole, non si parla di un rischio che permette a chiunque di rubare le password da remoto con un clic, ma di uno scenario in cui il computer è già in una situazione critica.
Il problema riguarda soprattutto malware e PC condivisi
La risposta di Microsoft, però, non basta a tranquillizzare tutti. Il motivo è semplice: molti attacchi moderni puntano proprio a rubare password, cookie e dati di sessione da dispositivi già infetti. Gli infostealer sono progettati per cercare informazioni sensibili nei browser e, se trovano credenziali disponibili in chiaro nella memoria, il lavoro diventa più semplice. È qui che il tema della protezione reale diventa meno teorico.
Il rischio può diventare più delicato anche nei contesti condivisi, come computer aziendali, ambienti con più utenti, postazioni remote o sistemi gestiti con privilegi amministrativi. Se un aggressore ottiene accesso elevato, potrebbe provare a leggere la memoria dei processi attivi e recuperare credenziali salvate da altri utenti. Per una famiglia il caso può sembrare lontano, ma per uffici e postazioni condivise è un problema di sicurezza concreta.
Cosa può fare chi usa Edge per le password
Chi usa Edge come gestore delle password non deve cancellare tutto d’istinto, ma dovrebbe valutare una scelta più prudente. Le credenziali più delicate, come quelle di email principale, banca, lavoro, identità digitale, cloud e pagamenti, andrebbero spostate in un password manager dedicato, protetto da una password principale robusta e possibilmente da autenticazione a due fattori.
Conviene anche controllare quali password sono salvate nel browser e rimuovere quelle che non servono più. Un’altra misura utile è attivare la verifica in due passaggi sui servizi più importanti, perché una password rubata diventa meno efficace se l’accesso richiede un secondo controllo. In parallelo resta essenziale mantenere Windows, Edge e l’antivirus aggiornati, perché la difesa parte sempre dalla sicurezza del dispositivo.
Il caso Edge mostra bene il compromesso continuo tra comodità e protezione. Salvare le password nel browser è rapido e pratico, ma non sempre è la soluzione migliore per gli account più importanti. Se Microsoft deciderà di modificare questo comportamento, il tema potrebbe ridimensionarsi; fino ad allora, la scelta più sensata è usare Edge per navigare e affidare le credenziali più sensibili a uno strumento pensato solo per gestire password.
