सेशन बाइंडिंग (बीटा वर्शन) की मदद से, कुकी चोरी होने से रोकना

एडमिन के तौर पर, डिवाइस बाउंड सेशन क्रेडेंशियल (डीबीएससी) लागू करके, अपने उपयोगकर्ताओं के ऑनलाइन सेशन की सुरक्षा को बेहतर बनाया जा सकता है. DBSC को सेशन हाइजैकिंग को रोकने के लिए डिज़ाइन किया गया है. इसे आम तौर पर कुकी की चोरी भी कहा जाता है.

इस तरह का साइबर हमला तब होता है, जब कोई अनधिकृत पार्टी, उपयोगकर्ता के चालू वेब सेशन का कंट्रोल हासिल कर लेती है. ऐसा वह सेशन कुकी चुराकर करती है. अक्सर, उपयोगकर्ता के डिवाइस पर मौजूद मैलवेयर के ज़रिए ऐसा किया जाता है. सेशन कुकी एक छोटी डेटा फ़ाइल होती है. इसमें साइन-इन के दौरान वेबसाइट की ओर से जारी किया गया यूनीक सेशन आइडेंटिफ़ायर होता है. चुराई गई इस कुकी को पेश करके, हमलावर असली उपयोगकर्ता की पहचान चुरा सकता है. साथ ही, पुष्टि किए गए सेशन को जारी रख सकता है.

डीबीएससी, उपयोगकर्ता के सेशन को उसके डिवाइस से बाइंड करता है. इससे हमलावरों के लिए, चुराई गई कुकी का इस्तेमाल दूसरे डिवाइसों पर करना मुश्किल हो जाता है. डीबीएससी का इस्तेमाल करके, उपयोगकर्ता खातों को बिना अनुमति के ऐक्सेस करने के जोखिम को कम किया जा सकता है. साथ ही, संवेदनशील उपयोगकर्ता डेटा को सुरक्षित रखा जा सकता है.

डीबीएससी का इस्तेमाल करने से जुड़ी ज़रूरी शर्तें

  • Windows के लिए Chrome: फ़िलहाल, डीबीएससी की सुविधा सिर्फ़ Windows डिवाइसों पर Chrome ब्राउज़र के लिए उपलब्ध है.
  • हार्डवेयर सुरक्षा (टीपीएम): उपयोगकर्ता के डिवाइस में ट्रस्टेड प्लैटफ़ॉर्म मॉड्यूल (टीपीएम) होना चाहिए. यह एक स्टैंडर्ड हार्डवेयर कॉम्पोनेंट है. यह Windows 11 पर काम करने वाले ज़्यादातर डिवाइसों के लिए पहले से उपलब्ध होता है. यह हार्डवेयर, क्रिप्टोग्राफ़िक कुंजियों को सुरक्षित तरीके से सेव करता है. इनका इस्तेमाल, सेशन को डिवाइस से बाइंड करने के लिए किया जाता है. आम तौर पर, लोगों को अपने डिवाइस की सिस्टम सेटिंग में जाकर या डिवाइस बनाने वाली कंपनी के दस्तावेज़ देखकर, टीपीएम की उपलब्धता के बारे में जानकारी मिल सकती है.
  • Chrome का वर्शन: उपयोगकर्ता के पास Chrome का वर्शन 136 या इसके बाद का वर्शन होना चाहिए. ज़्यादा जानकारी के लिए, Google Chrome को अपडेट करें पर जाएं.
  • मुख्य खाता: DBSC की सुरक्षा और लॉग इवेंट का डेटा, Chrome ब्राउज़र प्रोफ़ाइल में सिर्फ़ मुख्य खाते के लिए उपलब्ध होता है.

ध्यान दें: सेशन बाइंडिंग की सुविधा, Google की ज़्यादातर कुकी को सुरक्षित रखती है. हालांकि, कुछ कुकी या सेशन अनबाउंड रह सकते हैं.

डीबीएससी की सेटिंग चालू करना

शुरू करने से पहले: अगर ज़रूरी हो, तो किसी डिपार्टमेंट या ग्रुप के लिए सेटिंग लागू करने का तरीका जानें.

  1. Google Admin console में, मेन्यू इसके बाद सुरक्षा इसके बाद ऐक्सेस और डेटा कंट्रोल इसके बाद Google सेशन कंट्रोल पर जाएं.

    इसके लिए, आपके पास सुरक्षा सेटिंग के एडमिन का अधिकार होना चाहिए.

  2. (ज़रूरी नहीं) अगर आपको यह सेटिंग सिर्फ़ कुछ उपयोगकर्ताओं के लिए लागू करनी है, तो साइड पैनल में जाकर संगठन की कोई इकाई (अक्सर डिपार्टमेंट के लिए इस्तेमाल की जाती है) या कॉन्फ़िगरेशन ग्रुप (ऐडवांस) चुनें.

    ग्रुप की सेटिंग, संगठन की इकाइयों की सेटिंग को बदल देती हैं. ज़्यादा जानें

  3. डिवाइस बाउंड सेशन क्रेडेंशियल के लिए, डीबीएससी चालू करें को चुनें.
  4. सेव करें पर क्लिक करें. इसके अलावा, किसी संगठन की इकाई के लिए बदलें पर क्लिक किया जा सकता है.

    इनहेरिट की गई वैल्यू को बाद में वापस लाने के लिए, इनहेरिट करें पर क्लिक करें. ग्रुप के लिए, अनसेट करें पर क्लिक करें.

कॉन्टेक्स्ट अवेयर ऐक्सेस के साथ डीबीएससी लागू करना

सिर्फ़ डेस्कटॉप वेब ऐप्लिकेशन के लिए उपलब्ध है. मोबाइल ऐप्लिकेशन या एपीआई के लिए उपलब्ध नहीं है

उपयोगकर्ताओं को कुछ Google Workspace ऐप्लिकेशन ऐक्सेस करने के लिए, डीबीएससी की सुविधा चालू करने के लिए कहा जा सकता है. इससे सुरक्षा को और बेहतर बनाया जा सकता है. डीबीएससी लागू करने पर, अगर सिस्टम को पहले से सेट किए गए बाउंड सेशन में कोई अंतर दिखता है, तो उपयोगकर्ताओं को फिर से साइन इन करने के लिए कहा जाता है. दोबारा पुष्टि करने की इस प्रोसेस से, सिस्टम को नई और सुरक्षित बाइंडिंग की कोशिश करने की अनुमति मिलती है. जिन प्लैटफ़ॉर्म पर ऐप्लिकेशन काम नहीं करता है उन पर ऐप्लिकेशन को ऐक्सेस करने वाले लोगों को ब्लॉक कर दिया जाता है. सुरक्षा से जुड़ा यह तरीका, कॉन्टेक्स्ट अवेयर ऐक्सेस के ज़रिए कॉन्फ़िगर किया जाता है.

डीबीएससी लागू करने की सुविधा सेट अप करने के लिए:

  1. जिन उपयोगकर्ताओं के सेशन को सुरक्षित रखना है उनके लिए डीबीएससी चालू करें. इसके लिए, डीबीएससी चालू करना लेख पढ़ें.
  2. सिर्फ़ डीबीएससी से जुड़े सेशन से ऐप्लिकेशन को ऐक्सेस करने की अनुमति दें में कस्टम ऐक्सेस लेवल बनाने के लिए, दिए गए निर्देशों का पालन करें.
  3. उन ऐप्लिकेशन को ऐक्सेस लेवल असाइन करें जिन्हें सिर्फ़ डीबीएससी से जुड़े सेशन से ऐक्सेस किया जाना है. इसके लिए, मॉनिटर मोड का इस्तेमाल करें, ताकि उपयोगकर्ता के ऐक्सेस को ब्लॉक किए बिना ऐक्सेस लेवल लागू किए जा सकें.
  4. असर का आकलन करने के बाद, ऐक्सेस लेवल को ऐक्टिव मोड में असाइन करें, ताकि सिर्फ़ डीबीएससी से जुड़े सेशन के ज़रिए ऐक्सेस किया जा सके. ज़्यादा जानकारी के लिए, कॉन्टेक्स्ट अवेयर ऐक्सेस को डिप्लॉय करना पर जाएं.

डीबीएससी को तुरंत लागू नहीं किया जाता. इसका मतलब है कि उपयोगकर्ता के साइन इन करने के बाद, डीबीएससी लागू होने से पहले कुछ समय मिलता है. इस डिज़ाइन में, कुछ समय के लिए बाइंडिंग से जुड़ी संभावित समस्याओं को ठीक किया जाता है. सेशन बाइंड होने के बाद, सिस्टम समय-समय पर यह जांच करता है कि तय किए गए ऐप्लिकेशन को ऐक्सेस करने वाले उपयोगकर्ताओं के पास डीबीएससी से बाइंड किए गए सेशन हैं या नहीं. फिर से पुष्टि करने पर, यह ग्रेस पीरियड रीसेट हो जाएगा. साथ ही, फिर से पुष्टि करने के दौरान डीबीएससी लागू नहीं होगा.

डीबीएससी सुरक्षा और सेशन से जुड़ी समस्याओं की जांच करना

डीबीएससी सुरक्षा की निगरानी करने और सेशन में आने वाली रुकावटों को ठीक करने के लिए, सुरक्षा जांच टूल का इस्तेमाल किया जा सकता है. DBSC गतिविधि के लिए, लॉग के दो सोर्स होते हैं:

  • उपयोगकर्ता के लॉग इवेंट—उपयोगकर्ता के डिवाइसों से ऐक्सेस टोकन के बाइंड होने की प्रोसेस पर नज़र रखें.
  • ऐक्सेस की जांच के लॉग इवेंट—खास कुकी का स्टेटस देखें.

पहला चरण: उपयोगकर्ता के लॉग इवेंट में डीबीएससी गतिविधि खोजें

इस डेटा सोर्स का इस्तेमाल करके देखें कि डीबीएससी, उपयोगकर्ता के डिवाइसों पर कुंजियों को बाइंड कर रहा है या नहीं. साथ ही, यह भी देखें कि सेशन की पुष्टि हो रही है या नहीं.

यह देखने के लिए कि डीबीएससी कुंजियां बाइंड कर रहा है या नहीं:

  1. Google Admin console में, मेन्यू इसके बाद सुरक्षा इसके बाद सुरक्षा केंद्र इसके बाद जांच के लिए उपलब्ध टूल पर जाएं.

    इसके लिए, आपके पास सुरक्षा केंद्र से जुड़ा एडमिन का अधिकार होना चाहिए.

  2. डेटा सोर्स के लिए, उपयोगकर्ता के लॉग इवेंट चुनें.
  3. शर्त जोड़ें पर क्लिक करें.
  4. एट्रिब्यूट के लिए, ऑपरेटर के तौर पर इवेंटइसके बादहै और इवेंट के तौर पर डीबीएससी कुंजी बाइंडिंग चुनें.इसके बाद
  5. खोजें पर क्लिक करें.
  6. नतीजों की टेबल में, इवेंट का स्टेटस कॉलम देखें:
    • प्रोसेस पूरी हुई—इसका मतलब है कि उपयोगकर्ता के लिए डीबीएससी की सुरक्षा चालू है और सेशन सुरक्षित है.
    • नहीं हो सका—डीबीएससी बाइंडिंग नहीं हो सकी. इसलिए, उपयोगकर्ता के लिए सुरक्षा चालू नहीं की गई है.
    • कोई नतीजा नहीं मिला—इस उपयोगकर्ता के सेशन के लिए, डीबीएससी सुरक्षा की सुविधा इस्तेमाल नहीं की गई.

यह देखने के लिए कि डीबीएससी, सेशन की पुष्टि कर रहा है या नहीं:

  1. Google Admin console में, मेन्यू इसके बाद सुरक्षा इसके बाद सुरक्षा केंद्र इसके बाद जांच के लिए उपलब्ध टूल पर जाएं.

    इसके लिए, आपके पास सुरक्षा केंद्र से जुड़ा एडमिन का अधिकार होना चाहिए.

  2. शर्त जोड़ें पर क्लिक करें.
  3. एट्रिब्यूट के लिए, ऑपरेटर के तौर पर इवेंटइसके बादहैइसके बादडीबीएससी के मुख्य इवेंट की पुष्टि को चुनें.
  4. खोजें पर क्लिक करें.
  5. नतीजों की टेबल में, इवेंट का स्टेटस कॉलम देखें:
    • Succeeded—कुकी की पुष्टि हो गई है.
    • पुष्टि नहीं हो सकी—डीबीएसके की पुष्टि नहीं हो सकी. गड़बड़ी कोड जैसी ज़्यादा जानकारी पाने के लिए, स्थिति पर क्लिक करें.

एक बार पुष्टि न होने का मतलब यह नहीं है कि उपयोगकर्ता को सेशन में रुकावटें आ रही हैं. अगर पुष्टि करने की प्रोसेस में लगातार कई बार गड़बड़ी होती है, तो उपयोगकर्ताओं को रुकावटें आ सकती हैं.

दूसरा चरण: ऐक्सेस की जांच के लॉग इवेंट में, ऐक्सेस अस्वीकार किए जाने की जानकारी देखना

इस डेटा सोर्स का इस्तेमाल करके यह देखा जा सकता है कि किसी उपयोगकर्ता की कुकी को ऐक्सेस करने की अनुमति नहीं दी गई है या नहीं.

  1. Google Admin console में, मेन्यू इसके बाद सुरक्षा इसके बाद सुरक्षा केंद्र इसके बाद जांच के लिए उपलब्ध टूल पर जाएं.

    इसके लिए, आपके पास सुरक्षा केंद्र से जुड़ा एडमिन का अधिकार होना चाहिए.

  2. डेटा सोर्स के लिए, ऐक्सेस की जांच के लॉग इवेंट चुनें.
  3. शर्त जोड़ें पर क्लिक करें.
  4. एट्रिब्यूट के लिए, इवेंटइसके बादहै को ऑपरेटर के तौर परइसके बादकुकी की पुष्टि करने के अनुरोध को अस्वीकार करें को इवेंट के तौर पर चुनें.
  5. खोजें पर क्लिक करें.
  6. नतीजों की टेबल में, इवेंट का स्टेटस कॉलम में मौजूद स्वीकार नहीं किया गया पर क्लिक करें. इसके अलावा, जानकारी कॉलम में मौजूद लिंक पर क्लिक करके भी साइड पैनल खोला जा सकता है. इस पैनल में, इवेंट के स्वीकार न किए जाने की इन वजहों की समीक्षा की जा सकती है:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

लॉग इवेंट को सेशन के हिसाब से ग्रुप किया जाता है. हर घंटे में, हर उपयोगकर्ता के लिए सिर्फ़ एक इवेंट रिकॉर्ड किया जाता है. भले ही, उस दौरान ऐक्सेस करने के कई अनुरोध ब्लॉक किए गए हों.

तीसरा चरण: जांच करना कि सेशन में रुकावटें, डीबीएससी की वजह से तो नहीं आ रही हैं

उपयोगकर्ताओं को कई वजहों से साइन आउट किया जा सकता है. जैसे, सेशन की अवधि की सीमाएं, एडमिन की तय की गई नीतियां या नेटवर्क की समस्याएं. साइन आउट करने का मतलब हमेशा यह नहीं होता कि डीबीएससी से जुड़ी कोई समस्या है. हालांकि, लॉग की कुछ खास सीक्वेंस से, डीबीएससी से जुड़ी संभावित गतिविधि या ऐसे उदाहरणों की पहचान करने में मदद मिल सकती है जहां सिस्टम ने किसी ऐसे सेशन को ब्लॉक किया है जिससे समझौता किया गया है.

डीबीएससी से जुड़ी गतिविधि की पहचान करने के लिए, इन बातों का ध्यान रखें:

  • लॉग सीक्वेंस की समीक्षा करें—अगर आपको डीबीएससी कुंजी की पुष्टि करने से जुड़ी गड़बड़ियां दिखती हैं और इसके बाद कुकी की पुष्टि करने के अनुरोध को अस्वीकार करने से जुड़ी गड़बड़ियां दिखती हैं, तो हो सकता है कि डीबीएससी की वजह से उपयोगकर्ता साइन आउट हो गया हो.
  • उपयोगकर्ता पर पड़ने वाले असर को समझें—खाते को सुरक्षित रखने के लिए, अगर खाते को लिंक करने की प्रोसेस में कोई गड़बड़ी होती है, तो उपयोगकर्ता को फिर से साइन इन करना होगा.
  • उपयोगकर्ताओं को डीबीएससी से छूट दें—अगर कोई उपयोगकर्ता बार-बार साइन आउट हो रहा है, तो डीबीएससी से छूट पाने वाला कॉन्फ़िगरेशन ग्रुप बनाएं. इसके बाद, उपयोगकर्ता को उस ग्रुप में जोड़ें. इससे यह पता लगाया जा सकेगा कि डीबीएससी की वजह से साइन आउट हो रहा है या नहीं.


Google, Google Workspace, और इनसे जुड़े चिह्न और लोगो Google LLC के ट्रेडमार्क हैं. अन्य सभी कंपनी और प्रॉडक्ट के नाम, उन कंपनियों के ट्रेडमार्क हैं जिनसे वे जुड़े हैं.