Google正在開發的一項新安全功能Device Bound Session Credentials (DBSC),旨在防止攻擊者使用被盜的工作階段cookies來存取使用者帳戶。這項新功能對於提升網路安全有極大的潛力,值得我們重視和瞭解。
網路犯罪分子常常會透過惡意軟體竊取使用者的工作階段cookies,進而能夠繞過雙重驗證機制,進入受害者的帳戶從事illegal活動。由於cookies被視為網路上的「通行證」,一旦遭竊,就等於將重要資訊和資產暴露在危險之中。
Google的DBSC就是要解決這個問題。它的作法是將驗證工作階段綁定到特定裝置。當使用者登入時,瀏覽器會在本機產生一組公私鑰,私鑰將以安全的方式儲存在裝置內無法外洩,如信賴平台模組(TPM)。每次存取需要驗證的資源時,伺服器會檢查裝置是否擁有對應的私鑰,以確保工作階段確實在該裝置上執行。
這種做法的優點是,即使攻擊者竊取到cookies,由於缺乏對應的私鑰,也無法利用被盜cookies冒充使用者存取資源。除非攻擊者能在本機對裝置下手,那麼他們的存在就很容易被偵測到。
DBSC不僅如此,它還融合了保護隱私的考量。它無法被用來追蹤使用者線上活動,因為不同工作階段的金鑰無法被關聯。使用者也可以隨時刪除金鑰。如果使用者關閉cookies,那麼DBSC在該情況下也會停用。
總的來說,DBSC是一種創新的解決方案,有助於遏止惡意份子利用被盜cookies從事犯罪活動。它提供了一種全新的驗證機制,大幅提高了安全性,同時也充分尊重使用者的隱私權。誠如報導所說,這項新技術受到了許多大廠的青睞,有望成為開放的網路標準,廣為採用。
當然,DBSC目前仍在實驗和發展階段,是否能夠真正發揮預期的效用,還有待時間來驗證。但就目前來看,它無疑是網路安全領域的一項重大突破,對於防範駭客入侵至關重要,值得我們高度關注和期待。
詳情請看:
How Google plans to make stolen session cookies worthless for attackers