Microsoft Edge cambia totalmente il modo in cui gestisce le password

Microsoft Edge introduce una modifica importante nella gestione delle password salvate. Ora il browser chiederà obbligatoriamente l’autenticazione dell’utente prima di compilare in modo automatico le credenziali archiviate andando a contrastare alcune debolezze già note da tempo agli utenti.

La novità punta a ridurre il rischio di accessi non autorizzati nei casi in cui un dispositivo resti sbloccato o temporaneamente incustodito. Secondo quanto comunicato da Microsoft, il nuovo comportamento impedirà il riempimento automatico delle credenziali senza una verifica biometrica o l’inserimento del PIN di sistema. In pratica, anche se il browser rimane aperto e il PC è già sbloccato, l’utente dovrà confermare la propria identità prima che Edge inserisca username e password nei moduli di login, attraverso sistemi come Windows Hello.

Come funziona la nuova protezione delle password in Edge

La funzionalità si basa sui sistemi di autenticazione locali integrati nel sistema operativo. Il browser può richiedere riconoscimento facciale, impronta digitale o PIN Windows prima di concedere accesso alle password memorizzate, sfruttando API di autenticazione sicura già presenti nell’infrastruttura di Windows. Le credenziali archiviate nel password manager di Edge restano cifrate e la verifica dell’identità viene delegata ai componenti di sicurezza del sistema operativo, senza che il browser acceda direttamente ai dati biometrici dell’utente.

Microsoft aveva già introdotto protezioni simili in precedenza, ma il comportamento risultava opzionale o limitato ad alcune operazioni specifiche. Con il nuovo aggiornamento, la richiesta di autenticazione diventa più sistematica e coinvolge direttamente l’autofill. L’obiettivo principale riguarda la protezione contro attacchi opportunistici locali: in ambienti condivisi, uffici open space o postazioni incustodite, una sessione browser già aperta può consentire accesso immediato a servizi aziendali, email e piattaforme cloud.

L’autenticazione aggiuntiva riduce questa esposizione in modo significativo, anche se introduce qualche frizione nell’esperienza d’uso quotidiana, soprattutto per chi effettua accessi frequenti durante la giornata lavorativa.

Perché i browser stanno rafforzando i password manager integrati

I browser moderni sono diventati veri hub di identità digitale e sempre più utenti utilizzano i password manager integrati invece di software dedicati come Bitwarden, 1Password o LastPass.

La comodità dell’autofill e la sincronizzazione multi-dispositivo hanno accelerato questa tendenza, ma parallelamente crescono i rischi legati ai furti di sessione e agli attacchi contro endpoint locali.

Malware specializzati in credential dumping cercano spesso di estrarre password salvate direttamente dai browser, sfruttando sessioni già autenticate o profili utente compromessi. Microsoft ha rafforzato progressivamente l’isolamento delle credenziali in Edge utilizzando meccanismi di cifratura collegati all’account Windows e ai sistemi di sicurezza hardware presenti nei dispositivi moderni, inclusi TPM 2.0 e componenti Secure Enclave equivalenti.

Anche la transizione verso le passkey, basate su standard FIDO2 e autenticazione crittografica, sta influenzando l’evoluzione dei browser: eliminando le password tradizionali, questi sistemi richiedono meccanismi affidabili di verifica biometrica o locale, e la nuova funzione di Edge si inserisce esattamente in questa direzione.

Le grandi piattaforme tecnologiche stanno spostando gradualmente la sicurezza verso controlli continui dell’identità locale, riducendo la fiducia implicita nelle sessioni già aperte. Per Microsoft, proteggere le credenziali archiviate nei browser resta una priorità critica: gran parte degli attacchi informatici moderni continua a ruotare attorno al furto di identità digitali e all’accesso illecito agli account online.