Stöld av sessionscookies är ett av de vanligaste sätten att kapa användarkonton. Angriparen behöver inte ens ditt lösenord. Nu har Google lanserat ett skydd som gör stulna cookies värdelösa.

Vad är Device Bound Session Credentials

I Chrome 146 för Windows introducerar Google Device Bound Session Credentials (DBSC), en säkerhetsfunktion som kryptografiskt binder sessionscookies till den specifika datorns hårdvara. Det innebär att en cookie som stjäls från din dator inte kan användas på en annan maskin.

Tekniken använder TPM-chippet (Trusted Platform Module) i datorn för att skapa ett unikt nyckelpar. Varje session knyts till den hårdvaran, och servern verifierar att begäran faktiskt kommer från rätt enhet.

Varför det spelar roll för företag

Infostealers, skadlig programvara som stjäl inloggningsuppgifter och sessionscookies, har blivit ett av de största hoten mot företag. Angripare säljer stulna cookies på svarta marknaden, och köparen kan logga in på offrets konton utan att behöva lösenord eller tvåfaktorsautentisering.

Med DBSC blir den affärsmodellen mycket svårare. Även om en angripare lyckas stjäla en cookie kan den inte återanvändas på en annan dator. Cookien är kryptografiskt låst till offrets hårdvara.

Begränsningar att känna till

DBSC kräver att datorn har ett TPM-chip, vilket de flesta moderna Windows-datorer har. Funktionen är just nu begränsad till Chrome på Windows. Stöd för macOS har inte annonserats ännu.

Skyddet fungerar bara för webbplatser som implementerar stöd för DBSC på serversidan. Google har aktiverat det för sina egna tjänster, men det kommer ta tid innan fler webbplatser ansluter sig.

Vad ni bör göra

Se till att Chrome uppdateras till version 146 eller senare på alla företagsdatorer. Verifiera att TPM är aktiverat i BIOS på era Windows-maskiner. Fortsätt använda tvåfaktorsautentisering, DBSC ersätter inte andra säkerhetslager utan kompletterar dem.

Vill ni säkerställa att era medarbetares webbläsare och enheter är korrekt konfigurerade? Kontakta BlckIT så hjälper vi er med en säkerhetsgenomgång.