Previeni il furto di cookie con l'associazione di sessione (beta)

In qualità di amministratore, puoi migliorare la sicurezza delle sessioni online dei tuoi utenti implementando le credenziali di sessione vincolate al dispositivo (DBSC). DBSC è progettato per impedire il furto di sessione, noto anche come furto di cookie.

Questo tipo di attacco informatico si verifica quando una terza parte non autorizzata prende il controllo della sessione web attiva di un utente rubando il cookie della sessione (un piccolo file di dati contenente l'identificatore univoco della sessione) emesso dal sito web durante l'accesso. Presentando questo cookie rubato, il malintenzionato può rubare l'identità dell'utente legittimo e continuare la sessione autenticata.

Le credenziali di sessione associate al dispositivo funzionano associando la sessione di un utente al suo dispositivo specifico, rendendo difficile per gli utenti malintenzionati utilizzare i cookie rubati su altri dispositivi. Utilizzando DBSC, puoi ridurre il rischio di accessi non autorizzati agli account utente, proteggendo i dati utente sensibili.

Requisiti per l'utilizzo di DBSC

  • Al momento, le credenziali di sessione associate al dispositivo sono disponibili solo sul browser Chrome per i dispositivi Windows.
  • Il dispositivo dell'utente deve avere un TPM (Trusted Platform Module), un componente hardware standard già disponibile per la maggior parte dei dispositivi con Windows 11, per archiviare ed elaborare in modo sicuro i dati crittografici. In genere, gli utenti possono trovare informazioni sulla disponibilità del TPM nelle impostazioni di sistema del dispositivo o consultando la documentazione del produttore del dispositivo.
  • L'utente deve avere Chrome 136 o versioni successive. Per maggiori dettagli, vedi Aggiornare Google Chrome.

Nota: durante la fase beta, il vincolo della sessione protegge solo una selezione limitata di cookie di Google, il che significa che non tutti i cookie di un utente saranno protetti.

Attivare le credenziali di sessione associate al dispositivo

Prima di iniziare:se necessario, scopri come applicare l'impostazione a un reparto o a un gruppo.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezzae poiAccesso e controllo dei datie poiControllo sessione Google.

    È necessario disporre del privilegio di amministratore Impostazioni di sicurezza.

  2. (Facoltativo) Per applicare l'impostazione solo per alcuni utenti, seleziona a lato un'unità organizzativa (spesso utilizzata per i reparti) o un gruppo di configurazione (avanzata).

    Le impostazioni dei gruppi hanno la precedenza su quelle delle unità organizzative. Scopri di più

  3. Per Credenziali di sessione associate al dispositivo, seleziona Attiva le credenziali di sessione associate al dispositivo.
  4. Fai clic su Salva. In alternativa, puoi fare clic su Sostituisci per un'unità organizzativa.

    Per ripristinare in un secondo momento il valore ereditato, fai clic su Eredita (o Annulla impostazioni per un gruppo).

Possibili risultati dell'attivazione del DBSC

Dopo aver attivato le credenziali di sessione associate al dispositivo, gli utenti potrebbero riscontrare:

  • Interruzioni della sessione: se la sessione di un utente è valida, ma la procedura di associazione rileva un errore, il sistema richiede all'utente di accedere di nuovo. In questo modo, l'account e i dati dell'utente vengono protetti.
  • Problemi persistenti: se un utente riscontra costantemente problemi con DBSC, potrebbe essere disconnesso di frequente. In questi casi, gli utenti devono contattare l'amministratore per ricevere assistenza per la risoluzione dei problemi, che potrebbe includere la disattivazione di DBSC per il loro account. L'amministratore può creare un gruppo esente dal controllo dei dati dei clienti e aggiungere l'utente al gruppo.

Applicare le credenziali di sessione associate al dispositivo con l'accesso sensibile al contesto

Limitato alle app web desktop e non applicabile ad API o app mobile

Puoi migliorare ulteriormente la sicurezza richiedendo agli utenti di disporre delle credenziali di sessione vincolate al dispositivo per accedere ad app Google Workspace specifiche. Agli utenti che tentano di accedere alle app protette senza una sessione associata a DBSC verrà negato l'accesso. Questa misura di sicurezza viene configurata tramite l'accesso sensibile al contesto.

Per configurare l'applicazione del criterio DBSC:

  1. Attiva le credenziali di sessione associate al dispositivo per gli utenti che vuoi proteggere. Per la procedura, vai ad Attivare la funzionalità.
  2. Segui le istruzioni per creare un livello di accesso personalizzato in Consenti l'accesso alle app solo da sessioni legate a DBSC.
  3. Assegna il livello di accesso alle app a cui vuoi che venga eseguito l'accesso solo da sessioni vincolate a DBSC in modalità di monitoraggio per simulare l'applicazione forzata senza bloccare l'accesso degli utenti.
  4. Dopo aver valutato l'impatto, assegna i livelli di accesso in modalità attiva per applicare l'accesso solo per le sessioni legate a DBSC. Per maggiori dettagli, vai a Esegui il deployment dell'accesso sensibile al contesto.

L'applicazione forzata di DBSC non è immediata, il che significa che dopo l'accesso di un utente è previsto un periodo di tolleranza prima dell'applicazione. Questo design risolve i potenziali problemi di associazione temporanea. Una volta associate, il sistema controlla periodicamente se gli utenti che accedono alle app specificate hanno sessioni associate al dispositivo. Qualsiasi autenticazione di nuovo reimposta questo periodo di tolleranza e DBSC non verrà applicato durante l'autenticazione di nuovo.

Controllare gli eventi dei log di credenziali di sessione associate al dispositivo (DBSC)

Dopo aver attivato le credenziali di sessione associate al dispositivo, puoi esaminare gli eventi del log utente per verificare se si è verificato un evento di DBSC. Ad esempio, puoi verificare se l'associazione della chiave con le credenziali di sessione associate al dispositivo è riuscita o meno.

Nota: gli eventi di log DBSC sono visibili solo per l'account principale quando più account utente hanno eseguito l'accesso allo stesso profilo del browser Chrome.

Per controllare se un evento si è verificato:

  1. Apri Eventi dei log utente.
    Per maggiori dettagli, vedi Eventi dei log utente.
  2. Fai clic su Aggiungi un filtroe poiEvento.
  3. Seleziona un evento DBSC e fai clic su Applica.

Per informazioni dettagliate sugli eventi, consulta la tabella seguente:

Nome evento Descrizione
Associazione chiave DBSC Tentativo di associare la sessione di un utente al suo dispositivo. Lo stato dell'evento indica Riuscito o Non riuscito. Se il binding ha esito positivo, viene generata una nuova coppia di chiavi TPM e la chiave viene associata al dispositivo.
Convalida chiave DBSC

Un tentativo di convalidare la chiave DBSC non è riuscito, generando uno dei seguenti codici di errore:

  • DBSC_KEY_VERIFICATION_FAILED
  • DBSC_FAILURE_REASON_UNKNOWN


Google, Google Workspace e i marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.