Google vừa triển khai công nghệ Device Bound Session Credentials (DBSC) trên trình duyệt Chrome 146 cho Windows, nhằm tăng cường bảo mật phiên đăng nhập và giảm thiểu rủi ro từ các cuộc tấn công đánh cắp cookie.
Theo thông tin từ Google Security Blog, phiên bản Google Chrome 146 đã tích hợp DBSC – một cơ chế giúp ràng buộc phiên đăng nhập của người dùng với chính thiết bị đang sử dụng. Công nghệ này được thiết kế để ngăn chặn tình trạng kẻ tấn công sử dụng lại cookie bị đánh cắp trên thiết bị khác, một kỹ thuật phổ biến trong các chiến dịch tấn công mạng hiện nay.
Cụ thể, theo Google, DBSC sử dụng các thành phần bảo mật phần cứng như Trusted Platform Module (TPM) để tạo ra cặp khóa mã hóa công khai và riêng tư. Trong đó, khóa riêng được lưu trực tiếp trên thiết bị và không thể trích xuất. Khi máy chủ cấp hoặc gia hạn phiên đăng nhập, trình duyệt phải chứng minh quyền sở hữu khóa này, qua đó xác thực thiết bị hợp lệ.
Google cho biết cách tiếp cận này giúp chuyển từ mô hình “phát hiện sau khi bị xâm nhập” sang “ngăn chặn ngay từ đầu”. “Ngay cả khi cookie bị đánh cắp, kẻ tấn công cũng không thể sử dụng nó trên thiết bị khác nếu không có khóa riêng tương ứng”, Google nêu trong bài đăng trên Google Security Blog.
Theo trang công nghệ TechRadar, DBSC được triển khai trong bối cảnh các loại mã độc đánh cắp thông tin (infostealer malware) ngày càng gia tăng, trong đó việc lấy cắp cookie trình duyệt là một phương thức phổ biến để chiếm quyền truy cập tài khoản. Việc ràng buộc phiên với thiết bị được kỳ vọng sẽ làm giảm đáng kể hiệu quả của hình thức tấn công này.
Về mặt triển khai, Google cho biết DBSC vẫn tương thích với hạ tầng web hiện tại. Các website có thể tiếp tục sử dụng cookie như bình thường, đồng thời bổ sung API phía máy chủ để đăng ký và làm mới phiên bảo mật. Phần lớn thay đổi được xử lý tự động ở phía trình duyệt, giúp hạn chế tác động đến giao diện và trải nghiệm người dùng.
Theo tài liệu từ Chrome Developers, DBSC còn hỗ trợ cơ chế xoay vòng thông tin xác thực và sử dụng cookie có thời hạn ngắn, tăng thêm một lớp bảo vệ cho phiên đăng nhập. Điều này đặc biệt quan trọng trong bối cảnh nhiều dịch vụ trực tuyến vẫn phụ thuộc vào cookie để duy trì trạng thái người dùng.
Hiện DBSC đã có mặt trên Chrome 146 dành cho Windows, trong khi các nền tảng khác như macOS dự kiến sẽ được cập nhật trong thời gian tới. Google chưa công bố thời điểm triển khai cụ thể cho toàn bộ hệ sinh thái.
Giới chuyên gia nhận định việc tích hợp DBSC có thể đánh dấu một thay đổi đáng kể trong cách các trình duyệt và website xử lý bảo mật phiên đăng nhập, nhất là khi các cuộc tấn công nhắm vào cookie ngày càng tinh vi.