Google предприе важна стъпка към Защитени сесии за вход в Chrome В отговор на една от най-честите атаки днес – кражба на „бисквитки“ чрез зловреден софтуер – компанията е внедрила технология, наречена Device Bound Session Credentials (DBSC), в своя браузър за Windows, променяйки коренно начина, по който са защитени онлайн акаунтите.
Тази нова функция се появява първа през Chrome 146 на компютри с Windows Разчита на чипове за сигурност, интегрирани в хардуера на устройството. По този начин, дори ако киберпрестъпник успее да се сдобие с вашите бисквитки за удостоверяване, те стават практически безполезни извън устройството, където са генерирани, което драстично намалява ефективността на крадците на информация, циркулиращи онлайн.
Какво е Chrome DBSC и какъв проблем решава?
Идентификационните данни за сесия, свързани с устройството, са система, чрез която Всяка потребителска сесия е криптографски свързана с устройството откъдето започва. Вместо да разчита единствено на традиционните „бисквитки“, които могат да бъдат копирани и използвани повторно от друг компютър, DBSC изисква браузърът да докаже, че все още има достъп до частен ключ, сигурно съхранен в хардуера.
Целта е да се спре кражба на бисквитки за сесияТази техника се използва широко от нападателите, защото им позволява достъп до имейл акаунти, социални медии, банкови услуги или корпоративни услуги без пароли или двуетапно потвърждаване. Всичко, от което се нуждае злонамереният софтуер, е да се инсталира на компютъра и да прочете файловете и паметта, където браузърът съхранява бисквитките за удостоверяване.
Тези видове заплахи обикновено достигат до потребителя чрез заразени файлове или злонамерени разширенияИ в много случаи това остава незабелязано. Освен това, бисквитките за сесията обикновено имат относително дълъг живот, нещо, което специализирани семейства зловреден софтуер, като LummaC2 и други крадци на информация, експлоатират, като извличат тези идентификационни данни и ги продават в подземни форуми.
Досега основната стратегия се състоеше от откриване и отмяна на компрометирани сесии след факта на възникванеС други думи, след като „бисквитките“ бъдат откраднати, доставчиците ще се опитат да идентифицират измамна употреба и да затворят тези сесии. С DBSC Chrome се стреми да пресече проблема в зародиш и да направи откраднатите „бисквитки“ безполезни почти мигновено.
Как работи свързването на сесията с устройството?
Ядрото на DBSC е използването на хардуерно базирани модули за сигурносткато например Trusted Platform Module (TPM) в Windows или Secure Enclave в macOS. Тези чипове генерират уникални двойки публичен/частен ключ за всяко устройство, проектирани така, че да не могат да бъдат експортирани или прочетени отвън самото устройство.
Когато уебсайт, съвместим с DBSC, започне нова потребителска сесия, Chrome изисква от защитния чип да генериране или използване на частен ключ, свързан с тази сесияБраузърът запазва публичната част и я споделя със сървъра, докато частният ключ остава капсулиран в хардуера, недостъпен дори за самата операционна система.
От този момент нататък, издаването на нови бисквитки за сесия или подновяване на краткосрочни пълномощия Зависи от това дали Chrome може да докаже на сървъра, че все още контролира свързания частен ключ. Протоколът извършва криптографски обмен, при който браузърът подписва определени данни, а сървърът проверява подписа с регистрирания публичен ключ.
Ако хакер открадне файловете, където се съхраняват „бисквитките“, и се опита да ги използва на друг компютър, ще открие, че няма частен ключБез тази част сървърът няма да подновява „бисквитките“ или да счита сесията за валидна, така че всички „бисквитки“, които са извлечени, бързо изтичат и престават да бъдат полезни за кибератакуващия.
Google твърди, че дизайнът на системата предотвратява течове постоянни идентификатори на устройства или чувствителни данни към сървърите на уебсайта. Комуникацията е ограничена до обмен на ключове и криптографски доказателства, необходими за валидиране на сесията, като се поддържа баланс между сигурност и зачитане на поверителността на потребителя.
Технически изисквания и внедряване в Chrome 146
В тази първа фаза, защитата на DBSC е Налично само в Chrome 146 за WindowsБраузърът използва TPM модула на устройството, за да управлява сигурно ключовете и да гарантира, че личната част никога няма да напусне устройството. Потребителите не е необходимо ръчно да активират функцията; тя е интегрирана директно в системата за удостоверяване на браузъра.
За да проверите дали вашият компютър вече може да се възползва от тази нова функция, просто Проверете инсталираната версия на ChromeВ Windows отидете в менюто с три точки в горния десен ъгъл, изберете „Помощ“ и след това „Относно Google Chrome“. След това програмата ще провери за актуализации и ще ги инсталира автоматично, ако е налична по-нова версия.
Освен че компютърът трябва да има Chrome 146 или по-нова версия, той трябва да има TPM е функционален и правилно конфигуриранНа повечето съвременни компютри с Windows 10 или 11 този модул е активиран по подразбиране, тъй като се използва и за функции като BitLocker или Windows Hello.
Google вече беше тествал предварителна версия на DBSC през Workspace акаунти за фирмиСъщо така беше тествана в Chrome за Windows като пилотна програма. След тези изпитания системата вече е достъпна за широката публика, което отбелязва мащабно внедряване на тази форма на защита на сесиите.
В случая с Европа и Испания, новостта пристига едновременно и на други пазари, тъй като... Chrome се актуализира глобалноЗа потребителите и компаниите в региона въздействието е особено актуално, като се има предвид разрастването на дистанционната работа и увеличаването на атаките, насочени към кражба на идентификационни данни в корпоративните услуги.
Въздействие върху сигурността срещу крадци на информация и зловреден софтуер
Една от основните силни страни на DBSC е, че Той директно атакува бизнес модела на зловредния софтуер, специализиран в кражба на сесии.Тези видове злонамерени програми, известни като инфостийлъри, са посветени на събирането на „бисквитки“ и други данни за удостоверяване, съхранявани от браузърите, с цел по-късно да ги експлоатират или продават.
С криптографската връзка към устройството, дори ако зловредният софтуер успее чете локалните файлове, където Chrome съхранява „бисквитки“Не можете да ги използвате повторно на друг компютър или да ги препродавате като гарантиран достъп до конкретни акаунти. Липсата на частен ключ ефективно унищожава стойността на откраднатия материал.
Тази промяна значително усложнява атаките, при които нападателят Избягвайте двуетапно удостоверяване чрез повторно използване на „бисквитки“Досега, ако киберпрестъпник се сдобие с валидна бисквитка за сесия, той можеше да получи достъп до акаунт, сякаш беше легитимен потребител, дори ако потребителят имаше активирано двуфакторно удостоверяване. В много случаи дори промяната на паролата не премахваше незабавно натрапника.
Имате сесии, които изтичат бързо, ако не бъдат подновени чрез криптографски процес, свързан с оригиналното устройствоНападателите губят това предимство на безшумната постоянство. Това намалява възможността за експлоатиране на открадната сесия и повишава общото ниво на защита, както в домашна, така и в организационна среда.
Google подчертава, че DBSC не предотвратява заразяването със зловреден софтуер самостоятелно, нито замества други слоеве на защита, но действа като... Много специфична допълнителна бариера срещу кражба на идентификационни данниВ комбинация с антивирусен софтуер, редовни актуализации и добри практики за сигурност, защитата на най-чувствителните акаунти е значително засилена.
Поверителност и ограничения за проследяване между сайтове
Въпреки че DBSC е предназначен предимно като мярка за сигурност, той въвежда и определени предимства по отношение на поверителносттаВсяка сесия е свързана с независими ключове, така че системата предотвратява използването на DBSC от уебсайт за проследяване на потребител във времето или в различни услуги.
Вместо да изгражда постоянен, базиран на устройство уникален идентификатор, архитектурата на протокола прави Ключовете се управляват за всяка сесия и за всеки сайт.Това затруднява превръщането на тази технология в механизъм за снемане на пръстови отпечатъци на устройства, нещо, което би противоречало на европейските разпоредби за защита на данните и на собствените политики на Google.
Комуникацията между Chrome и сървърите е ограничена до обмен на публични ключове и основни криптографски доказателстваНе се изпращат допълнителни подробности за хардуера или лични потребителски данни. За доставчиците на онлайн услуги този дизайн предлага допълнителна сигурност, без да се изисква от тях да обработват чувствителна информация за устройството.
В регулаторния контекст на Европейския съюз, където Общият регламент относно защитата на данните (GDPR) и други регламенти поставят високи изисквания, начинът, по който е бил подхождан към DBSC стреми се да се съобрази с принципите за минимизиране на даннитеУебсайтовете могат да подобрят сигурността на акаунтите, без да увеличават количеството идентифицируема информация, която обработват за всеки потребител.
Този подход е особено важен за критични услуги в Испания и Европа, като например онлайн банкиране, електронно управление или платформи за здравеопазване, която трябва да балансира силна сигурност и стриктно зачитане на поверителността, за да отговаря на регулаторните изисквания.
Какво трябва да правят уебсайтовете и какво могат да правят потребителите
За да влезе DBSC в сила, не е достатъчно Chrome просто да имплементира протокола: Самите уебсайтове трябва да осигуряват поддръжка.Платформи като социални мрежи, имейл услуги, банкови портали или корпоративни инструменти ще трябва да адаптират своите системи за удостоверяване, за да се възползват от ключовете, свързани с устройството.
Google публикува техническо ръководство за уеб разработчици където се обясняват стъпките, необходими за интегриране на DBSC в техните сървъри. Идеята е те да могат да продължат да използват обичайния си работен процес, базиран на бисквитки, добавяйки само допълнителния криптографски слой, който проверява дали сесията е свързана с конкретен хардуер.
От гледна точка на потребителя, не е необходимо да се променят специални настройки. Най-важното е поддържайте браузъра си актуализиран до версия 146 или по-нова и се уверете, че компютърът отговаря на минималните изисквания (особено наличието на активен TPM в случай на Windows).
В ситуации, когато бисквитките за сесия вече са били откраднати, експертите все още препоръчват Затворете всички отворени сесии на критични акаунти (имейл, банкиране, социални медии, професионални услуги) и промяна на пароли. DBSC не поправя вече компрометирани сесии, но намалява риска от бъдещи опити за кражба на „бисквитки“ да бъдат успешни.
За индивидуални потребители в Испания, особено за тези, които често използват онлайн банкиране или държавни услуги, които са предпочитани цели на нападателитеТози допълнителен слой може да окаже съществено влияние. Европейските компании, от своя страна, могат да намерят DBSC за полезен инструмент за засилване на достъпа до вътрешни приложения, без да принуждават служителите си да преминават през по-сложни процеси на удостоверяване.
Предлага се за Windows и скоро ще бъде достъпен за macOS
Текущата версия на DBSC е пусната в стабилно състояние през Chrome 146 за Windowsкъдето поддръжката на TPM е широко разпространена. Google вече използваше този компонент в други области на системната сигурност, така че интеграцията с браузъра се вписва в съществуващата архитектура.
Компанията потвърди намерението си да внедри същата технология в macOS в бъдеща актуализацияТова ще разчита на Secure Enclave, интегриран в процесорите на Apple. Все още не е предоставена конкретна дата, но пътната карта показва, че внедряването постепенно ще се разшири до повече платформи.
В европейската екосистема, където използването на Mac компютри в творческа и професионална среда е забележително, появата на DBSC на macOS може... балансиране на защитата между различните операционни системиПо този начин организациите със смесени паркове от персонални компютри и компютри Apple ще могат да прилагат по-последователни политики за сигурност.
Сътрудничеството на Google с Microsoft при разработването на този механизъм, замислен като част от отворен стандарт за уеб сигурностТова предполага, че други браузъри и системи биха могли да го възприемат в бъдеще. Ако това се случи, концепцията за сесии, свързани с устройства, би могла да се превърне във фундаментален компонент на интернет сигурността.
Успоредно с това се очаква основните международни услуги – като доставчици на електронна поща, социални мрежи или бизнес решения – да постепенно активиране на DBSC съвместимостТова може да се усети чрез подобрени съобщения за сигурност или леко променени процеси за влизане за определени потребители.
Като цяло, появата на свързани с устройството идентификационни данни за сесии в Chrome бележи промяна в подхода: вместо да се разчита единствено на това „бисквитките“ да останат скрити, се добавя хардуерен слой, който прави сесиите много по-трудни за отвличане. Въпреки че все още има път по отношение на приемането на уебсайтове и разширяването им към други системи, за потребителите на Windows в Испания и Европа това представлява ясно подобрение срещу кражбата на акаунти и още една стъпка в еволюцията на сигурността на браузъра, без да се жертва поверителността.
