Google объявила о новых мерах по борьбе с кражей файлов cookie и токенов авторизации корпоративных аккаунтов Workspace. По данным компании, эти действия — причина 37% успешных взломов учётных записей.
Первое улучшение касается ключей доступа во всех сервисах Google Workspace, которые теперь доступны всем пользователям платформы. Ключи доступа привязываются к конкретному устройству, предотвращая их кражу и использование на стороннем оборудовании.
Второе нововведение — функция Device Bound Session Credentials (DBSC), которая теперь доступна в открытой бета-версии. Эта функция усиливает защиту уже после входа в систему. При авторизации браузер генерирует пару ключей: закрытый остаётся в устройстве пользователя, а открытый передаётся серверу. Для поддержания действия сессии сервер периодически проверяет наличие закрытого ключа на устройстве, запрашивая подтверждение. Если злоумышленник украдёт cookie-файл сеанса, он не сможет использовать его на своём устройстве, поскольку ключ к нему отсутствует. На данный момент DBSC поддерживается только в Chrome на Windows.
Третья функция, которую Google планирует запустить к концу 2025 года, — это Shared Signals Framework (SSF), которая позволит взаимодействовать службам безопасности разных провайдеров. Если поставщик удостоверений обнаружит подозрительную активность в аккаунте пользователя, он сможет быстро отправить сигнал в Google для моментального завершения сеанса.
