Google добавила Chrome новую функциональность, получившую имя Device Bound Session Credentials. Она привязывает cookies к конкретному устройству, что поможет защитить пользователей от кражи «печенек» и, как следствие, перехвата аккаунтов.
Злоумышленники часто охотятся за файлами cookies, поскольку последние позволяют сразу войти в аккаунт, обойдя даже многофакторную аутентификацию (MFA). Для этого, как правило, используются вредоносные программы — стилеры.
Чтобы защитить пользователя от подобных атак, Google придумала фичу Device Bound Session Credentials (DBSC). Её задача — связать с помощью криптографии ваши cookies аутентификации и ваше устройство.
После включения DBSC сам процесс аутентификации будет связан с конкретной парой закрытого и открытого ключей, сгенерированных через чип Trusted Platform Module (TPM) и безопасно хранящихся на компьютере пользователя.
Таким образом, киберпреступники не смогут получить доступ к вашим аккаунтам даже в том случае, если им удастся украсть cookies.
«Сам принцип кражи “печенек“ потеряет всякую ценность, поскольку DBSC привяжет сессии к устройствам пользователей. Мы полагаем, что результатом станет резкое снижение числа подобных атак», — объясняет Кристиан Монсен из Google.
Сейчас нововведение можно попробовать, пройдя в адресной строке в «chrome://flags/» и активировав функцию «enable-bound-session-credentials».
