Google Chrome für Windows führt Device Bound Session Credentials (DBSC) ein, um Nutzerdaten durch hardwarebasierte Schlüssel zu schützen. Erfahren Sie, wie es Sitzungsdiebstahl verhindert.
© E. Vartanyan
Google hat in Chrome für Windows eine neue Sicherheitsfunktion eingeführt, die den Schutz von Nutzerdaten im Internet grundlegend verändern könnte. Die als Device Bound Session Credentials (DBSC) bezeichnete Technologie debütierte in Chrome-Version 146.
Die Neuerung bindet Nutzersitzungen im Wesentlichen an bestimmte Geräte. Statt Autorisierungsdaten ausschließlich in Cookies zu speichern, fügt sie eine zusätzliche Sicherheitsebene durch kryptografische Schlüssel hinzu, die auf der Hardware-Sicherheitsebene generiert werden – etwa über das TPM-Modul in Windows.
Ein zentraler Aspekt von DBSC ist, dass der private Schlüssel das Gerät nie verlässt und nicht exportiert werden kann. Selbst wenn Angreifer Zugriff auf Cookie-Dateien erlangen, können sie diese auf einem anderen Gerät nicht nutzen. Das macht traditionelle Sitzungsdiebstahl-Angriffe praktisch wirkungslos. Für Websites erfordert die Übernahme dieser Technologie keine größeren Änderungen. Entwickler können spezifische Mechanismen für die Registrierung und Aktualisierung von Sitzungen implementieren, während der übliche Cookie-Arbeitsablauf beibehalten wird. Der Browser übernimmt die meisten Verschlüsselungs- und Schutzaufgaben.
Aktuell ist diese Funktion in Chrome 146 für Windows verfügbar, wobei eine macOS-Version in den kommenden Wochen erwartet wird. Bei breiter Akzeptanz könnte diese Technologie zu einem bedeutenden Schritt im Kampf gegen Kontodiebstahl und bei der Anhebung allgemeiner Online-Sicherheitsstandards werden.