昨天又用户在 X 上提到：Microsoft Edge 会在启动时将你保存的所有密码以明文形式加载到内存中，即使你没使用它们。

这是真的，但真相不止如此。

根据这个说法，Edge 在刚启动时、使用中，以及使用后，所有密码都会明文保存在内存中。

只需要有管理员权限，就可以获取。

甚至，有一个演示代码，可以重现：

另外一方面，当你想要在 Edge 中明文查看密码时，需要输入密码才可以。

也就是说：

• 界面层面，它依然把保存的密码当成高敏感信息处理
• 进程层面，这些密码又以明文形式存在于内存

不过，问题在于：管理员权限

借用用户 @maxloh 的评价：这一逻辑与 Chromium 威胁模型完全一致。根据定义，一旦攻击者获得管理员权限，游戏就结束了。

是的，这些明文密码需要管理员权限才可以读取到，但攻击者已经获得了管理员权限，是否将密码明文加载到内存中，关系不大。

密码管理器

这个时候，就需要把密码管理器来出来看看了。

如果在完全相同的情况下，是否密码管理器，会不会好一些？

答案是：会好一些

主要区别是：密码管理器大多数时间是锁定状态，而浏览器通常长期处于“已解锁”状态。

密码管理器通常有一个过期时间，此后就会自动上锁并要求重新输入密码。而此时就算有管理员权限，但没有密码管理器主密码依旧无法获得你的密码。

而另一方面，如果你解锁了密码管理器，岂不是意味着，你就在设备前么？

对比项	浏览器密码管理（Edge / Chrome）	独立密码管理器
默认状态	长期处于“已解锁”	大多数时间处于“锁定”
解锁方式	登录系统后通常自动可用	需要主密码、生物验证等
自动锁定	通常没有明显“重新上锁”机制	一般支持超时自动锁定
管理员权限下	更容易直接读取当前可用密码	未解锁时，通常仍无法直接获取密码库
明文密码停留时间	较长	更短
攻击窗口	浏览器运行期间长期存在	主要集中在“已解锁”那段时间

所以，是时候抛弃浏览器密码啦。

更多链接

• 长期投票：我最喜爱的密码管理器

---

原文：