Evitar o roubo de cookies com a vinculação de sessão (Beta)

Como administrador, você pode melhorar a segurança das sessões on-line dos usuários implementando as credenciais de sessão vinculadas ao dispositivo (DBSC, na sigla em inglês). O DBSC foi criado para evitar o sequestro de sessão, também conhecido como roubo de cookies.

Esse tipo de ataque cibernético ocorre quando uma parte não autorizada assume o controle da sessão ativa de um usuário na Web roubando o cookie de sessão (um pequeno arquivo de dados que contém o identificador exclusivo da sessão) emitido pelo site durante o login. Ao apresentar esse cookie roubado, o invasor pode se passar pelo usuário legítimo e continuar a sessão autenticada.

O DBSC vincula a sessão de um usuário ao dispositivo específico, dificultando que invasores usem cookies roubados em outros dispositivos. Ao usar o DBSC, você reduz o risco de acesso não autorizado às contas de usuários, mantendo os dados sensíveis deles seguros.

Requisitos para usar o DBSC

  • No momento, o DBSC está disponível apenas no navegador Chrome para dispositivos Windows.
  • O dispositivo do usuário precisa ter um Módulo de plataforma confiável (TPM), que é um componente de hardware padrão já disponível para a maioria dos dispositivos com Windows 11, para armazenar e processar dados criptográficos com segurança. Normalmente, os usuários podem encontrar informações sobre a disponibilidade do TPM nas configurações do sistema do dispositivo ou consultando a documentação do fabricante.
  • O usuário precisa ter a versão 136 ou mais recente do Chrome. Veja detalhes no artigo Atualizar o Google Chrome.

Observação: durante a fase Beta, a vinculação de sessão protege apenas uma seleção limitada de cookies do Google. Isso significa que nem todos os cookies de um usuário serão protegidos.

Ativar DBSC

Antes de começar:se necessário, aprenda a aplicar a configuração a um departamento ou grupo.

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisControle de acesso e dadose depoisControle de sessão do Google.

    Exige o privilégio de administrador Configurações de segurança.

  2. (Opcional) Para aplicar a configuração apenas a alguns usuários, selecione uma unidade organizacional (geralmente usada para departamentos) ou um grupo de configuração (avançado) na lateral.

    As configurações do grupo substituem as unidades organizacionais. Saiba mais

  3. Em Credenciais de sessão vinculadas ao dispositivo, selecione Ativar DBSC.
  4. Clique em Salvar. Ou clique em Substituir em uma unidade organizacional.

    Para restaurar depois o valor herdado, clique em Herdar (ou Cancelar configuração para um grupo).

Resultados possíveis da ativação do DBSC

Depois de ativar o DBSC, pode haver:

  • Interrupções de sessão: se a sessão de um usuário for válida, mas o processo de vinculação encontrar um erro, o sistema vai exigir que o usuário faça login novamente. Isso protege a conta e os dados do usuário.
  • Problemas persistentes: se um usuário tiver problemas constantes com o DBSC, ele poderá ser desconectado com frequência. Nesses casos, os usuários precisam entrar em contato com o administrador para receber ajuda com a solução de problemas, o que pode incluir a desativação do DBSC na conta. O administrador pode criar um grupo isento do DBSC e adicionar o usuário a ele.

Aplicar as credenciais de sessões vinculadas ao dispositivo com o acesso baseado no contexto

Limitado a apps da Web para computador e não aplicável a apps para dispositivos móveis ou APIs

Você pode aumentar ainda mais a segurança exigindo que os usuários tenham o DBSC para acessar apps específicos do Google Workspace. O acesso de usuários a apps protegidos sem uma sessão vinculada ao DBSC será negado. Essa medida de segurança é configurada pelo Acesso baseado no contexto.

Para configurar a aplicação do DBSC:

  1. Ative as credenciais de sessões vinculadas ao dispositivo para os usuários que você quer proteger. Confira as etapas em Ativar o DBSC.
  2. Siga as instruções para criar um nível de acesso personalizado em Permitir o acesso a apps apenas de sessões vinculadas ao DBSC.
  3. Atribua o nível de acesso aos apps que você quer que sejam acessados apenas por sessões limitadas por DBSC no modo de monitoramento para simular a aplicação sem bloquear o acesso do usuário.
  4. Depois de avaliar o impacto, atribua níveis de acesso no modo ativo para aplicar o acesso apenas por sessões vinculadas ao DBSC. Para mais detalhes, acesse Implantar o acesso baseado no contexto.

A aplicação do DBSC não é imediata, o que significa que, depois que um usuário faz login, há um período de carência antes da aplicação. Esse design acomoda possíveis problemas de vinculação temporária. Depois da vinculação, o sistema verifica periodicamente se os usuários que acessam os apps especificados têm sessões vinculadas a DBSC. Qualquer reautenticação vai redefinir esse período de carência, e o DBSC não será aplicado durante essa reautenticação.

Verificar eventos de registro do DBSC

Depois de ativar o DBSC, você pode analisar os eventos de registro do usuário para verificar se um evento de DBSC ocorreu. Por exemplo, é possível verificar se a vinculação de chave do DBSC foi bem-sucedida ou falhou.

Observação: os eventos de registro do DBSC só ficam visíveis para a conta principal quando várias contas de usuário estão conectadas ao mesmo perfil do navegador Chrome.

Para verificar se um evento ocorreu:

  1. Abra Eventos de registro do usuário.
    Saiba mais em Eventos de registro do usuário.
  2. Clique em Adicionar um filtroe depoisEvento.
  3. Selecione um evento do DBSC e clique em Aplicar.

Para detalhes sobre os eventos, consulte a tabela a seguir.

Nome do evento Descrição
Vinculação de chave do DBSC Tentativa de vincular a sessão de um usuário ao dispositivo dessa pessoa. O status do evento mostra Concluído ou Falha. Se a vinculação for bem-sucedida, um novo par de chaves do TPM será gerado e vinculado ao dispositivo.
Validação de chave do DBSC

Uma tentativa de validar a chave do DBSC falhou, resultando em um dos seguintes códigos de erro:

  • DBSC_KEY_VERIFICATION_FAILED
  • DBSC_FAILURE_REASON_UNKNOWN


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas a que estão associados.