Google表示,它正在推出三项增强功能来帮助组织打击 cookie 和授权令牌盗窃,37% 的账户盗窃是因此而得逞。通过电子邮件传播的信息窃取程序的兴起,使这个问题变得更加严重。攻击者不断寻找新的方法来窃取用户登录服务的会话数据。这使得他们甚至可以绕过多因素身份验证,直接轻松入侵用户账户。
第一项增强功能是为所有Google Workspace用户提供密钥支持。Google声称,由于密钥与设备绑定,无法被网络钓鱼,因此这项功能不仅易于使用,而且安全性更高。
密码支持现已向超过 1100 万 Google Workspace 客户全面开放,并具有扩展的管理员功能以审核注册并将密码限制为物理安全密钥。
接下来,我们推出了设备绑定会话凭证 (DBSC),现已开放 Beta 测试,它可以在您登录后为您提供保护。其工作原理是:您的浏览器在您登录时生成一对唯一的公钥和私钥。私钥会锁定在您的设备上,最好存储在硬件安全芯片中,而公钥则会发送到服务器。为了保持会话有效,服务器会定期发送一个只有拥有私钥的设备才能正确应答的质询。
用于启用 DBSC 的 Google 会话控制部分的管理控制台 UI | 图片:Google
如果有人窃取了您的会话 Cookie,由于他们没有密钥,该 Cookie 在他们的机器上将无法使用。目前,此功能仅适用于 Windows 版 Chrome。
2023 年,科技 YouTuber Linus Sebastian的 Linus Tech Tips(以及 Techquickie 姊妹频道)遭到黑客攻击。攻击者通过伪装成赞助邀请邮件中 PDF 格式的恶意文件获取访问权限。
一名工作人员打开该文件后,该通道的会话令牌被窃取,黑客由此获得完全控制权,从而实施加密货币诈骗。DBSC 的设计旨在使此类凭证盗窃更加困难。
最后,该公司表示,今年晚些时候将推出共享信号框架 (SSF)接收器。这意味着不同的安全服务可以以标准化的方式相互通信。如果您的身份提供商检测到您的帐户存在问题,它可以向 Google 发送信号,立即终止不安全的会话。
