Evitar o roubo de cookies com a vinculação de sessão

O Google Workspace melhora automaticamente a segurança das sessões on-line dos usuários usando as credenciais de sessão vinculadas ao dispositivo (DBSC, na sigla em inglês). O DBSC foi criado para evitar o sequestro de sessão, também conhecido como roubo de cookies.

Esse tipo de ataque cibernético ocorre quando uma parte não autorizada assume o controle da sessão ativa de um usuário na Web roubando o cookie de sessão, geralmente por malware no dispositivo do usuário. Um cookie de sessão é um pequeno arquivo de dados que contém o identificador exclusivo da sessão emitido pelo site durante o login. Ao apresentar esse cookie roubado, o invasor pode se passar pelo usuário legítimo e continuar a sessão autenticada.

O DBSC funciona vinculando a sessão de um usuário ao dispositivo específico dele, dificultando o uso de cookies roubados em outros dispositivos. Isso cria um limite de segurança baseado em hardware que reduz o risco de acesso não autorizado às contas de usuários e mantém os dados sensíveis seguros. O DBSC está ativado por padrão para todas as contas do Workspace. Nenhuma ação do administrador é necessária para ativar essa proteção.

Requisitos para usar o DBSC

  • Navegador Chrome: versão 146 ou mais recente para Windows e versão 148 ou mais recente para macOS. Para mais detalhes, acesse Atualizar o Google Chrome.
  • Segurança de hardware:exige recursos de segurança baseados em hardware para armazenar com segurança as chaves criptográficas usadas para vincular a sessão ao dispositivo. Para Windows, esse é um Módulo de plataforma confiável (TPM), que é padrão na maioria dos dispositivos com Windows 11. Para macOS, esse é um Enclave seguro (disponível na maioria dos laptops Mac mais recentes). Consulte a documentação do fabricante do dispositivo para confirmar os recursos de hardware.

Como a proteção DBSC é aplicada

A proteção DBSC é aplicada automaticamente quando o dispositivo e o navegador de um usuário atendem aos requisitos técnicos necessários. Em alguns casos, as sessões podem permanecer desvinculadas. Alguns motivos comuns:

  • Ambiente não compatível: problemas com o sistema operacional, a versão do navegador ou a segurança de hardware do usuário (como um TPM no Windows).
  • Sessões atuais : a proteção DBSC se aplica apenas a novas sessões. Os usuários que já estavam conectados quando o DBSC foi ativado precisam fazer logout e login novamente para vincular a sessão.
  • Modificações do navegador: algumas extensões do navegador ou mudanças manuais nos cookies podem impedir que o DBSC funcione corretamente.

Aplicar o DBSC com o acesso baseado no contexto

Limitado a apps da Web para computador e não aplicável a apps para dispositivos móveis ou APIs

Você pode aumentar ainda mais a segurança exigindo que os usuários tenham o DBSC para acessar apps específicos do Google Workspace. Quando você aplica o DBSC, os usuários são solicitados a fazer login novamente se o sistema detectar uma diferença com uma sessão vinculada estabelecida anteriormente. Essa reautenticação permite que o sistema tente uma nova vinculação segura. Os usuários em plataformas não compatíveis são bloqueados de acessar o app protegido. Essa medida de segurança é configurada pelo Acesso baseado no contexto.

Para configurar a aplicação do DBSC:

  1. Siga as instruções para criar um nível de acesso personalizado em Permitir o acesso a apps apenas de sessões vinculadas ao DBSC.
  2. Atribua o nível de acesso aos apps que você quer que sejam acessados apenas por sessões limitadas por DBSC no modo de monitoramento para simular a aplicação sem bloquear o acesso do usuário.
  3. Depois de avaliar o impacto, atribua níveis de acesso no modo ativo para aplicar o acesso apenas por sessões vinculadas ao DBSC. Para mais detalhes, acesse Implantar o acesso baseado no contexto.

A aplicação do DBSC não é imediata, o que significa que, depois que um usuário faz login, há um período de carência antes da aplicação. Esse design acomoda possíveis problemas de vinculação temporária. Depois da vinculação, o sistema verifica periodicamente se os usuários que acessam os apps especificados têm sessões vinculadas a DBSC. Qualquer reautenticação vai redefinir esse período de carência, e o DBSC não será aplicado durante essa reautenticação.

Investigar problemas de proteção e sessão do DBSC

Você pode usar a ferramenta de investigação de segurança para monitorar a proteção DBSC e solucionar problemas de interrupções de sessão. Há duas fontes de registro para a atividade DBSC:

  • Eventos de registro do usuário: monitoram a vinculação de tokens de acesso aos dispositivos do usuário.
  • Eventos de registro da avaliação do acesso : analisam o status de cookies específicos.

Observação:os eventos de registro do DBSC só ficam visíveis para a conta principal quando várias contas de usuário estão conectadas ao mesmo perfil do navegador Chrome.

Etapa 1: pesquisar a atividade DBSC nos eventos de registro do usuário

Use essa fonte de dados para saber se o DBSC está vinculando chaves aos dispositivos do usuário e validando sessões.

Para verificar se o DBSC está vinculando chaves:

  1. No Google Admin Console, acesse Menu e depois Segurança e depois Central de segurança e depois Ferramenta de investigação.

    Exige o privilégio de administrador Central de segurança.

  2. Em Origem de dados, selecione Eventos de registro do usuário .
  3. Clique em Adicionar condição.
  4. Para Atributo, selecione Eventoe depoisÉ como o operadore depoisVinculação de chave DBSC como o evento.
  5. Clique em Pesquisar.
  6. Na tabela de resultados, analise a coluna Status do evento :
    • Sucesso : a proteção DBSC está ativada para o usuário, e a sessão está protegida.
    • Falha : a vinculação DBSC falhou, e a proteção não está ativada para o usuário.
    • Nenhum resultado: a proteção DBSC não foi tentada para essa sessão do usuário.

Para verificar se o DBSC está validando sessões:

  1. No Google Admin Console, acesse Menu e depois Segurança e depois Central de segurança e depois Ferramenta de investigação.

    Exige o privilégio de administrador Central de segurança.

  2. Clique em Adicionar condição.
  3. Para Atributo, selecione Eventoe depoisÉ como o operadore depoisValidação de chave DBSC como o evento.
  4. Clique em Pesquisar.
  5. Na tabela de resultados, analise a coluna Status do evento :
    • Sucesso : o cookie foi validado.
    • Falha : a validação DBSC falhou. Clique no status para receber mais informações, como um código do erro.

Uma falha não significa necessariamente que o usuário esteja enfrentando interrupções de sessão Os usuários podem ter interrupções se ocorrerem várias falhas de validação sucessivas.

Etapa 2: verificar se há negações de acesso nos eventos de registro da avaliação do acesso

Use essa fonte de dados para saber se o acesso ao cookie de um usuário foi negado acesso.

  1. No Google Admin Console, acesse Menu e depois Segurança e depois Central de segurança e depois Ferramenta de investigação.

    Exige o privilégio de administrador Central de segurança.

  2. Em Origem de dados, selecione Eventos de registro da avaliação de acesso.
  3. Clique em Adicionar condição.
  4. Para Atributo, selecione Eventoe depoisÉ como o operadore depoisNegar solicitação de validação de cookie como o evento.
  5. Clique em Pesquisar.
  6. Na tabela de resultados, clique em Negado na coluna Status do evento ou no link na coluna Descrição para abrir um painel lateral em que você pode analisar os seguintes motivos de falha:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Os eventos de registro são agrupados por sessão. Para gerenciar o volume de registros, apenas um evento é registrado por hora para cada sessão e tipo de falha exclusivos. Outras tentativas com os mesmos detalhes não são registradas durante essa hora.

Etapa 3: investigar se as interrupções de sessão são causadas pelo DBSC

Os usuários podem fazer logout por vários motivos, como limites de duração da sessão , políticas definidas pelo administrador ou problemas de rede. Embora um logout não indique sempre um problema de DBSC, sequências de registo específicas podem ajudar a identificar atividades relacionadas com o DBSC ou instâncias em que o sistema bloqueou uma sessão comprometida.

Use estes pontos para ajudar a identificar atividades relacionadas ao DBSC:

  • Analisar sequências de registro: se você encontrar falhas de Validação de chave DBSC seguidas por uma Negar solicitação de validação de cookie , o DBSC poderá ser a causa do logout do usuário.
  • Entender o impacto no usuário: para manter a conta segura, um usuário precisa fazer login novamente se o processo de vinculação encontrar um erro.


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais estão associados.