Microsoft Edge 將所有密碼以明文形式儲存在記憶體中，即使未被使用也是如此

背景

近期在社群平台 X（原 Twitter）上的一則貼文引發熱議，指出微軟的 Edge 瀏覽器會將所有儲存的密碼以明文形式存放在記憶體中，即使這些密碼當下並未被使用。這項發現引發了關於瀏覽器安全性與作業系統進程隔離機制的廣泛討論，特別是針對攻擊者若取得系統權限後，能輕易從記憶體傾印（Dump）出敏感資訊的風險。

社群觀點

針對這項指控，Hacker News 的討論呈現出兩極化的反應。部分使用者認為「存放在記憶體」與「儲存在硬碟」有本質上的區別，記憶體具備揮發性且僅為暫時載入，將其與硬碟明文儲存混為一談有誤導之嫌。然而，反對者則認為，對於一般使用者而言，只要密碼能被輕易讀取，其物理存放位置的差異並不影響安全風險的實質存在。

討論中最強而有力的觀點在於「氣密艙門」（Airtight Hatchway）理論。許多資深開發者指出，這並非 Edge 獨有的漏洞，而是現代桌面作業系統架構的先天限制。如果攻擊者已經具備讀取任意進程記憶體的權限，通常意味著他們已經掌握了系統管理員權限或處於相同的用戶執行環境中。在這種情況下，攻擊者大可直接偽裝成使用者匯出密碼，或安裝鍵盤記錄器，根本不需要費力去解析記憶體。因此，許多留言者認為這類指控帶有「憤怒行銷」的色彩，刻意誇大了常規運作機制的風險。

此外，社群也探討了密碼管理工具的本質。有人指出，無論是 Chrome、Firefox 還是專業的密碼管理員如 Bitwarden 或 KeePass，在密碼需要被填入網頁表單的瞬間，都必須解密成明文並存在於記憶體中。雖然專業工具會嘗試在不使用時清除記憶體，但這僅能縮小受攻擊的時間窗口，無法完全杜絕風險。部分使用者建議，若要追求極致安全，應使用如 KeePass 等獨立工具，而非將密碼鎖定在特定瀏覽器中，這不僅是為了安全性，也是為了避免被單一瀏覽器生態系綁架。

最後，討論也觸及了不同作業系統的安全性差異。有觀點認為 Android 與 iOS 在進程隔離上做得比桌面作業系統更徹底，而桌面環境下所有程式在同一用戶權限下並排執行的模式，註定了安全性取決於系統中最脆弱的一環。這場爭論反映出技術社群對於「實務安全」與「理論漏洞」之間的權衡：在現有的運算架構下，完全消除記憶體中的明文密碼幾乎是不可能的任務。

延伸閱讀

• It rather involved being on the other side of this airtight hatchway：微軟開發者部落格經典文章，解釋為何某些看似漏洞的行為在特定安全邊界下並不構成威脅。
• KeePassXC 記憶體安全說明：專業密碼管理工具如何處理記憶體中的敏感資料及其侷限性。
• 密碼管理員安全性比較：由資安專家 Tavis Ormandy 撰寫，探討不同類型密碼管理器的安全模型。