सेशन बाइंडिंग (बीटा वर्शन) की मदद से, कुकी चोरी होने से रोकना

एडमिन के तौर पर, डिवाइस बाउंड सेशन क्रेडेंशियल (डीबीएससी) लागू करके, अपने उपयोगकर्ताओं के ऑनलाइन सेशन की सुरक्षा को बेहतर बनाया जा सकता है. DBSC को सेशन हाइजैकिंग को रोकने के लिए डिज़ाइन किया गया है. इसे आम तौर पर कुकी की चोरी भी कहा जाता है.

इस तरह का साइबर हमला तब होता है, जब कोई अनधिकृत पार्टी, उपयोगकर्ता के चालू वेब सेशन का कंट्रोल हासिल कर लेती है. ऐसा वह सेशन कुकी चुराकर करती है. अक्सर, उपयोगकर्ता के डिवाइस पर मौजूद मैलवेयर के ज़रिए ऐसा किया जाता है. सेशन कुकी एक छोटी डेटा फ़ाइल होती है. इसमें साइन-इन के दौरान वेबसाइट की ओर से जारी किया गया यूनीक सेशन आइडेंटिफ़ायर होता है. चुराई गई इस कुकी को पेश करके, हमलावर असली उपयोगकर्ता की पहचान चुरा सकता है. साथ ही, पुष्टि किए गए सेशन को जारी रख सकता है.

डीबीएससी, उपयोगकर्ता के सेशन को उसके डिवाइस से बाइंड करता है. इससे हमलावरों के लिए, चुराई गई कुकी का इस्तेमाल दूसरे डिवाइसों पर करना मुश्किल हो जाता है. डीबीएससी का इस्तेमाल करके, उपयोगकर्ता खातों को बिना अनुमति के ऐक्सेस करने के जोखिम को कम किया जा सकता है. साथ ही, संवेदनशील उपयोगकर्ता डेटा को सुरक्षित रखा जा सकता है.

डीबीएससी का इस्तेमाल करने से जुड़ी ज़रूरी शर्तें

  • Windows के लिए Chrome: फ़िलहाल, डीबीएससी की सुविधा सिर्फ़ Windows डिवाइसों पर Chrome ब्राउज़र के लिए उपलब्ध है.
  • हार्डवेयर सुरक्षा (टीपीएम): उपयोगकर्ता के डिवाइस में ट्रस्टेड प्लैटफ़ॉर्म मॉड्यूल (टीपीएम) होना चाहिए. यह एक स्टैंडर्ड हार्डवेयर कॉम्पोनेंट है. यह Windows 11 पर काम करने वाले ज़्यादातर डिवाइसों के लिए पहले से उपलब्ध होता है. यह हार्डवेयर, क्रिप्टोग्राफ़िक कुंजियों को सुरक्षित तरीके से सेव करता है. इनका इस्तेमाल, सेशन को डिवाइस से बाइंड करने के लिए किया जाता है. आम तौर पर, लोगों को अपने डिवाइस की सिस्टम सेटिंग में जाकर या डिवाइस बनाने वाली कंपनी के दस्तावेज़ देखकर, टीपीएम की उपलब्धता के बारे में जानकारी मिल सकती है.
  • Chrome का वर्शन: उपयोगकर्ता के पास Chrome का वर्शन 136 या इसके बाद का वर्शन होना चाहिए. ज़्यादा जानकारी के लिए, Google Chrome को अपडेट करें पर जाएं.
  • मुख्य खाता: DBSC की सुरक्षा और लॉग इवेंट का डेटा, Chrome ब्राउज़र प्रोफ़ाइल में सिर्फ़ मुख्य खाते के लिए उपलब्ध होता है.

ध्यान दें: सेशन बाइंडिंग की सुविधा, Google की ज़्यादातर कुकी को सुरक्षित रखती है. हालांकि, कुछ कुकी या सेशन अनबाउंड रह सकते हैं.

डीबीएससी की सेटिंग चालू करना

शुरू करने से पहले: अगर ज़रूरी हो, तो किसी डिपार्टमेंट या ग्रुप के लिए सेटिंग लागू करने का तरीका जानें.

  1. Google Admin console में, मेन्यू इसके बाद सुरक्षा इसके बाद ऐक्सेस और डेटा कंट्रोल इसके बाद Google सेशन कंट्रोल पर जाएं.

    इसके लिए, आपके पास सुरक्षा सेटिंग से जुड़ा एडमिन का अधिकार होना चाहिए.

  2. (ज़रूरी नहीं) अगर आपको यह सेटिंग सिर्फ़ कुछ उपयोगकर्ताओं के लिए लागू करनी है, तो साइड पैनल में जाकर संगठन की कोई इकाई (अक्सर डिपार्टमेंट के लिए इस्तेमाल की जाती है) या कॉन्फ़िगरेशन ग्रुप (ऐडवांस) चुनें.

    ग्रुप की सेटिंग, संगठन की इकाइयों की सेटिंग को बदल देती हैं. ज़्यादा जानें

  3. डिवाइस बाउंड सेशन क्रेडेंशियल के लिए, डीबीएससी चालू करें को चुनें.
  4. सेव करें पर क्लिक करें. इसके अलावा, किसी संगठन की इकाई के लिए बदलें पर क्लिक किया जा सकता है.

    इनहेरिट की गई वैल्यू को बाद में वापस लाने के लिए, इनहेरिट करें पर क्लिक करें. ग्रुप के लिए, अनसेट करें पर क्लिक करें.

कॉन्टेक्स्ट अवेयर ऐक्सेस की मदद से डीबीएससी लागू करना

सिर्फ़ डेस्कटॉप वेब ऐप्लिकेशन के लिए उपलब्ध है. मोबाइल ऐप्लिकेशन या एपीआई के लिए उपलब्ध नहीं है

उपयोगकर्ताओं को कुछ Google Workspace ऐप्लिकेशन ऐक्सेस करने के लिए, डीबीएससी की सुविधा चालू करने के लिए कहा जा सकता है. इससे सुरक्षा को और बेहतर बनाया जा सकता है. डीबीएससी लागू करने पर, अगर सिस्टम को पहले से सेट किए गए बाउंड सेशन में कोई अंतर दिखता है, तो उपयोगकर्ताओं को फिर से साइन इन करने के लिए कहा जाता है. दोबारा पुष्टि करने की इस प्रोसेस से, सिस्टम को नई और सुरक्षित बाइंडिंग की कोशिश करने की अनुमति मिलती है. जिन प्लैटफ़ॉर्म पर ऐप्लिकेशन काम नहीं करता है उन पर ऐप्लिकेशन को ऐक्सेस करने वाले लोगों को ब्लॉक कर दिया जाता है. सुरक्षा से जुड़ा यह तरीका, कॉन्टेक्स्ट अवेयर ऐक्सेस के ज़रिए कॉन्फ़िगर किया जाता है.

डीबीएससी लागू करने की सुविधा सेट अप करने के लिए:

  1. जिन उपयोगकर्ताओं के सेशन को सुरक्षित बनाना है उनके लिए डीबीएससी चालू करें. इसके लिए, डीबीएससी चालू करना लेख पढ़ें.
  2. सिर्फ़ डीबीएससी से जुड़े सेशन से ऐप्लिकेशन को ऐक्सेस करने की अनुमति दें में कस्टम ऐक्सेस लेवल बनाने के लिए, दिए गए निर्देशों का पालन करें.
  3. उन ऐप्लिकेशन को ऐक्सेस लेवल असाइन करें जिन्हें सिर्फ़ डीबीएससी से जुड़े सेशन से ऐक्सेस किया जाना है. इसके लिए, मॉनिटर मोड का इस्तेमाल करें, ताकि उपयोगकर्ता के ऐक्सेस को ब्लॉक किए बिना ऐक्सेस लेवल लागू किए जा सकें.
  4. असर का आकलन करने के बाद, ऐक्सेस लेवल को ऐक्टिव मोड में असाइन करें, ताकि सिर्फ़ डीबीएससी से जुड़े सेशन के ज़रिए ऐक्सेस किया जा सके. ज़्यादा जानकारी के लिए, कॉन्टेक्स्ट अवेयर ऐक्सेस को डिप्लॉय करना पर जाएं.

डीबीएससी को तुरंत लागू नहीं किया जाता. इसका मतलब है कि उपयोगकर्ता के साइन इन करने के बाद, डीबीएससी लागू होने से पहले कुछ समय मिलता है. इस डिज़ाइन में, कुछ समय के लिए बाइंडिंग से जुड़ी संभावित समस्याओं को ठीक किया जाता है. एक बार बाइंड होने के बाद, सिस्टम समय-समय पर यह जांच करता है कि तय किए गए ऐप्लिकेशन को ऐक्सेस करने वाले उपयोगकर्ताओं के पास डीबीएससी से बाइंड किए गए सेशन हैं या नहीं. फिर से पुष्टि करने पर, यह ग्रेस पीरियड रीसेट हो जाएगा. साथ ही, पुष्टि करने की इस अवधि के दौरान डीबीएससी लागू नहीं होगा.

डीबीएससी सुरक्षा और सेशन से जुड़ी समस्याओं की जांच करना

डीबीएससी सुरक्षा की निगरानी करने और सेशन में आने वाली रुकावटों को ठीक करने के लिए, सुरक्षा जांच टूल का इस्तेमाल किया जा सकता है. DBSC गतिविधि के लिए, लॉग के दो सोर्स होते हैं:

  • उपयोगकर्ता के लॉग इवेंट—उपयोगकर्ता के डिवाइसों से ऐक्सेस टोकन के बाइंड होने की प्रोसेस पर नज़र रखें.
  • ऐक्सेस की जांच के लॉग इवेंट—खास कुकी का स्टेटस देखें.

पहला चरण: उपयोगकर्ता के लॉग इवेंट में, डीबीएससी की गतिविधि खोजें

इस डेटा सोर्स का इस्तेमाल करके देखें कि डीबीएससी, कुंजियों को उपयोगकर्ता के डिवाइसों से जोड़ रहा है या नहीं. साथ ही, यह भी देखें कि सेशन की पुष्टि हो रही है या नहीं.

यह देखने के लिए कि डीबीएससी कुंजियां बाइंड कर रहा है या नहीं:

  1. Google Admin console में, मेन्यू इसके बाद सुरक्षा इसके बाद सुरक्षा केंद्र इसके बाद जांच के लिए उपलब्ध टूल पर जाएं.

    इसके लिए, आपके पास सुरक्षा केंद्र से जुड़ा एडमिन का अधिकार होना चाहिए.

  2. डेटा सोर्स के लिए, उपयोगकर्ता के लॉग इवेंट चुनें.
  3. शर्त जोड़ें पर क्लिक करें.
  4. एट्रिब्यूट के लिए, ऑपरेटर के तौर पर इवेंटइसके बादहै और इवेंट के तौर पर डीबीएससी कुंजी बाइंडिंग चुनें.इसके बाद
  5. खोजें पर क्लिक करें.
  6. नतीजों की टेबल में, इवेंट का स्टेटस कॉलम देखें:
    • सफल—उपयोगकर्ता के लिए डीबीएससी सुरक्षा चालू है और सेशन सुरक्षित है.
    • फ़ेल हो गया—डीबीएससी बाइंडिंग फ़ेल हो गई है. साथ ही, उपयोगकर्ता के लिए सुरक्षा चालू नहीं है.
    • कोई नतीजा नहीं मिला—इस उपयोगकर्ता के सेशन के लिए, डीबीएससी सुरक्षा का इस्तेमाल नहीं किया गया.

यह देखने के लिए कि डीबीएससी, सेशन की पुष्टि कर रहा है या नहीं:

  1. Google Admin console में, मेन्यू इसके बाद सुरक्षा इसके बाद सुरक्षा केंद्र इसके बाद जांच के लिए उपलब्ध टूल पर जाएं.

    इसके लिए, आपके पास सुरक्षा केंद्र से जुड़ा एडमिन का अधिकार होना चाहिए.

  2. शर्त जोड़ें पर क्लिक करें.
  3. एट्रिब्यूट के लिए, ऑपरेटर के तौर पर इवेंटइसके बादहैइसके बादडीबीएससी के मुख्य इवेंट की पुष्टि को चुनें.
  4. खोजें पर क्लिक करें.
  5. नतीजों की टेबल में, इवेंट का स्टेटस कॉलम देखें:
    • Succeeded—कुकी की पुष्टि हो गई है.
    • पुष्टि नहीं हो सकी—डीबीएसके की पुष्टि नहीं हो सकी. गड़बड़ी कोड जैसी ज़्यादा जानकारी पाने के लिए, स्थिति पर क्लिक करें.

एक बार पुष्टि न होने का मतलब यह नहीं है कि उपयोगकर्ता को सेशन में रुकावटें आ रही हैं. अगर पुष्टि करने की प्रोसेस में लगातार कई बार गड़बड़ी होती है, तो उपयोगकर्ताओं को रुकावटें आ सकती हैं.

दूसरा चरण: ऐक्सेस की जांच के लॉग इवेंट में, ऐक्सेस अस्वीकार किए जाने की जानकारी देखना

इस डेटा सोर्स का इस्तेमाल करके यह देखा जा सकता है कि किसी उपयोगकर्ता की कुकी को ऐक्सेस करने की अनुमति नहीं दी गई है या नहीं.

  1. Google Admin console में, मेन्यू इसके बाद सुरक्षा इसके बाद सुरक्षा केंद्र इसके बाद जांच के लिए उपलब्ध टूल पर जाएं.

    इसके लिए, आपके पास सुरक्षा केंद्र से जुड़ा एडमिन का अधिकार होना चाहिए.

  2. डेटा सोर्स के लिए, ऐक्सेस की जांच के लॉग इवेंट चुनें.
  3. शर्त जोड़ें पर क्लिक करें.
  4. एट्रिब्यूट के लिए, इवेंटइसके बादहै को ऑपरेटर के तौर परइसके बादकुकी की पुष्टि करने के अनुरोध को अस्वीकार करें को इवेंट के तौर पर चुनें.
  5. खोजें पर क्लिक करें.
  6. नतीजों की टेबल में, इवेंट का स्टेटस कॉलम में मौजूद स्वीकार नहीं किया गया पर क्लिक करें. इसके अलावा, जानकारी कॉलम में मौजूद लिंक पर क्लिक करके भी साइड पैनल खोला जा सकता है. इस पैनल में, इवेंट के स्वीकार न किए जाने की इन वजहों की समीक्षा की जा सकती है:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

लॉग इवेंट को सेशन के हिसाब से ग्रुप किया जाता है. हर घंटे में, हर उपयोगकर्ता के लिए सिर्फ़ एक इवेंट रिकॉर्ड किया जाता है. भले ही, उस दौरान ऐक्सेस करने के कई अनुरोध ब्लॉक किए गए हों.

तीसरा चरण: जांच करें कि सेशन में रुकावटें, डीबीएससी की वजह से तो नहीं आ रही हैं

उपयोगकर्ताओं को कई वजहों से साइन आउट किया जा सकता है. जैसे, सेशन की अवधि की सीमाएं, एडमिन की तय की गई नीतियां या नेटवर्क से जुड़ी समस्याएं. साइन आउट करने का मतलब हमेशा यह नहीं होता कि डीबीएससी से जुड़ी कोई समस्या है. हालांकि, लॉग की कुछ खास सीक्वेंस से, डीबीएससी से जुड़ी संभावित गतिविधि या ऐसे उदाहरणों की पहचान करने में मदद मिल सकती है जहां सिस्टम ने किसी ऐसे सेशन को ब्लॉक किया है जिससे समझौता किया गया है.

डीबीएससी से जुड़ी गतिविधि की पहचान करने के लिए, इन बातों का ध्यान रखें:

  • लॉग सीक्वेंस की समीक्षा करें—अगर आपको डीबीएससी कुंजी की पुष्टि से जुड़ी गड़बड़ियां दिखती हैं और इसके बाद कुकी की पुष्टि करने के अनुरोध को अस्वीकार किया गया दिखता है, तो हो सकता है कि डीबीएससी की वजह से उपयोगकर्ता साइन आउट हो गया हो.
  • उपयोगकर्ता पर पड़ने वाले असर को समझें—खाते को सुरक्षित रखने के लिए, अगर खाते को लिंक करने की प्रोसेस में कोई गड़बड़ी होती है, तो उपयोगकर्ता को फिर से साइन इन करना होगा.
  • उपयोगकर्ताओं को डीबीएससी से छूट देना—अगर कोई उपयोगकर्ता बार-बार साइन आउट हो जाता है, तो डीबीएससी से छूट पाने वाला कॉन्फ़िगरेशन ग्रुप बनाया जा सकता है. साथ ही, उस उपयोगकर्ता को उस ग्रुप में जोड़ा जा सकता है. इससे यह पता लगाया जा सकता है कि डीबीएससी की वजह से तो साइन आउट नहीं हो रहा है.


Google, Google Workspace, और इनसे जुड़े चिह्न और लोगो Google LLC के ट्रेडमार्क हैं. अन्य सभी कंपनी और प्रॉडक्ट के नाम, उन कंपनियों के ट्रेडमार्क हैं जिनसे वे जुड़े हैं.