为应对日益严峻的账号盗窃和会话劫持问题，Google宣布推出三项关键安全增强功能，旨在全面提升Google Workspace用户的账户安全性。这些新功能包括对所有Google Workspace用户的密钥支持，该功能通过设备绑定和抗钓鱼特性，提供更高级别的安全保障。同时，Google还推出了设备绑定会话凭证（DBSC）的Beta测试，通过在设备端加密私钥，有效阻止会话Cookie被窃取后滥用，从而抵御类似Linus Tech Tips遭遇的攻击。此外，共享信号框架（SSF）接收器的推出，将允许不同安全服务实现标准化通信，一旦检测到账户异常，可立即触发不安全会话的终止，进一步加固了整体安全防线。

🔑 Google为所有Workspace用户提供密钥支持，这项功能将密钥与设备绑定，有效防止网络钓鱼，并提供扩展的管理员功能，允许审核注册和限制密码仅限于物理安全密钥，显著提升了账户的易用性和安全性。

🛡️ 设备绑定会话凭证（DBSC）现已开放Beta测试，它通过在用户登录时生成一对公钥和私钥，并将私钥锁定在设备上，服务器则定期发送质询，只有持有私钥的设备才能正确响应，从而确保即使会话Cookie被窃取，攻击者也无法利用其访问账户，有效应对了凭证盗窃。

🔗 共享信号框架（SSF）接收器将于今年晚些时候推出，它将实现不同安全服务间的标准化通信。这意味着当用户的身份提供商检测到账户存在问题时，可以向Google发送信号，立即终止不安全会话，形成一个联动响应的安全机制。

📈 鉴于37%的账户盗窃通过信息窃取程序得逞，且攻击者不断寻找绕过多因素身份验证的方法，Google此次推出的多项安全增强措施，特别是针对会话数据盗窃的防护，对于保障用户账户安全具有重要意义，旨在从根本上解决账户被入侵的风险。

Google表示，它正在推出三项增强功能来帮助组织打击 cookie 和授权令牌盗窃，37% 的账户盗窃是因此而得逞。通过电子邮件传播的信息窃取程序的兴起，使这个问题变得更加严重。攻击者不断寻找新的方法来窃取用户登录服务的会话数据。这使得他们甚至可以绕过多因素身份验证，直接轻松入侵用户账户。

第一项增强功能是为所有Google Workspace用户提供密钥支持。Google声称，由于密钥与设备绑定，无法被网络钓鱼，因此这项功能不仅易于使用，而且安全性更高。

密码支持现已向超过 1100 万 Google Workspace 客户全面开放，并具有扩展的管理员功能以审核注册并将密码限制为物理安全密钥。

接下来，我们推出了设备绑定会话凭证 (DBSC)，现已开放 Beta 测试，它可以在您登录后为您提供保护。其工作原理是：您的浏览器在您登录时生成一对唯一的公钥和私钥。私钥会锁定在您的设备上，最好存储在硬件安全芯片中，而公钥则会发送到服务器。为了保持会话有效，服务器会定期发送一个只有拥有私钥的设备才能正确应答的质询。

用于启用 DBSC 的 Google 会话控制部分的管理控制台 UI | 图片：Google

如果有人窃取了您的会话 Cookie，由于他们没有密钥，该 Cookie 在他们的机器上将无法使用。目前，此功能仅适用于 Windows 版 Chrome。

2023 年，科技 YouTuber Linus Sebastian的 Linus Tech Tips（以及 Techquickie 姊妹频道）遭到黑客攻击。攻击者通过伪装成赞助邀请邮件中 PDF 格式的恶意文件获取访问权限。

一名工作人员打开该文件后，该通道的会话令牌被窃取，黑客由此获得完全控制权，从而实施加密货币诈骗。DBSC 的设计旨在使此类凭证盗窃更加困难。

最后，该公司表示，今年晚些时候将推出共享信号框架 (SSF)接收器。这意味着不同的安全服务可以以标准化的方式相互通信。如果您的身份提供商检测到您的帐户存在问题，它可以向 Google 发送信号，立即终止不安全的会话。