Google is van plan cookiediefstal te bestrijden met project DBSC

Google lijkt zich zorgen te maken over het feit dat authenticatiecookies gemakkelijker doelwitten worden voor hackers. Authenticatiecookies waarmee gebruikers op verschillende apparaten ingelogd kunnen blijven zonder herhaaldelijk wachtwoorden in te voeren, zijn vatbaar voor diefstal en misbruik. Daartoe heeft Google een open-sourceproject gelanceerd dat tot doel heeft diefstal van cookies te bestrijden en de browserbeveiliging voor gebruikers te verbeteren.

Device Bound Session Credentials (DBSC) is de oplossing van Google tegen cookiediefstal

Als authenticatiecookies worden gestolen, kunnen ze inloggen op ongeautoriseerde apparaten mogelijk maken, waardoor ze een lucratief bezit worden voor hackers. Om deze situatie te bestrijden ontwikkelt Google de Device Bound Session Credentials (DBSC) API die authenticatiecookies zal binden via een apparaatgebaseerd mechanisme. Hierdoor wordt een unieke relatie tot stand gebracht tussen de website en de browser, waardoor het gebruik van gestolen cookies op verschillende machines wordt voorkomen.

De voorgestelde DBSC API wil een webstandaard creëren die de veiligheid verbetert maar tegelijkertijd de privacy van gebruikers respecteert. Als gevolg hiervan kunnen sites deze technologieën niet gebruiken om logins op meerdere apparaten bij te houden. Google zinspeelt er ook op dat slechts minimale informatie, zoals de openbare sleutel per sessie die via het netwerk wordt verzonden, de privacy en veiligheid voor gebruikers aan hun kant handhaaft.

De oplossing kan echter ongemak veroorzaken als het gaat om de compatibiliteit van apparaten en besturingssystemen. Het idee is dat ongeveer de helft van de momenteel actieve Chrome-installaties op desktops de DBSC API van Google krijgt. Het bedrijf zal echter nog steeds inspanningen leveren om compatibiliteit met oudere computers en op software gebaseerde oplossingen te garanderen.

DBSC bevindt zich momenteel in de bètafase en bereikt een beperkt aantal gebruikers om te testen

Een prototype van de DBSC API heeft een beperkt aantal Google-accountgebruikers in Chrome Bèta bereikt voor testdoeleinden door Google. Volgens bedrijfsbronnen hebben Okta en Microsoft Edge allemaal interesse getoond in de tool, en daarom zullen ze er binnenkort ook toegang toe hebben.

Door de handen ineen te slaan met branchepartners wil Google dat deze vóór 2024 universeel wordt aangenomen als webstandaard, waardoor de accountbeveiliging wordt verbeterd in de veranderende digitale omgeving. Om gebruikersaccounts te beschermen tegen ongeoorloofde toegang zijn veilige authenticatiecookies en tweefactorauthenticatie nodig om gebruikelijker te worden.

Thijs Van der Does