Google meldt afname van cookiediefstal bij Chrome-gebruikers na invoering DBSC

In dit artikel:

Google heeft in Chrome een nieuwe beveiliging genaamd Device Bound Session Credentials (DBSC) ingevoerd om te voorkomen dat gestolen session cookies door aanvallers op andere systemen worden misbruikt. Session cookies, die na inloggen worden aangemaakt, geven toegang tot accounts en zijn een populair doelwit van infostealer‑malware; met gestolen cookies kunnen criminelen vaak zonder wachtwoord of 2FA inloggen.

DBSC koppelt elke ingelogde sessie aan het specifieke apparaat door in de browser op het toestel een public/private‑sleutelpaar te genereren. De private key wordt door het besturingssysteem zó opgeslagen (bijvoorbeeld in een TPM) dat die moeilijk te exporteren is. De browser gebruikt korte‑levende cookies en bewijst aan de server dat hij de bijbehorende private key bezit, zodat gestolen cookies snel waardeloos worden als de sleutel niet beschikbaar is voor de aanvaller. Google zegt dat er voor iedere sessie een unieke key wordt gemaakt en dat DBSC niet toestaat om sleutels van verschillende sessies op hetzelfde apparaat te koppelen, waardoor persistent tracking beperkt blijft. Volgens Google lekt het systeem geen significante apparaatinformatie; alleen de per‑sessie public key gaat naar de server.

Een vroege versie van DBSC werd vorig jaar getest; Google meldt een aanzienlijke daling van gestolen session cookies bij beveiligde sessies. DBSC is nu breed beschikbaar in Chrome 146 voor Windows en wordt binnenkort toegevoegd voor macOS. Voor apparaten zonder speciale 'secure hardware' onderzoekt Google software‑gebaseerde sleutels, een optie die doorgaans minder sterk is maar wel compatibiliteit vergroot. Google streeft ernaar DBSC als open webstandaard te positioneren.