Previeni il furto di cookie con l'associazione di sessione (beta)

In qualità di amministratore, puoi migliorare la sicurezza delle sessioni online dei tuoi utenti implementando le credenziali di sessione associate al dispositivo (DBSC). DBSC è progettato per impedire il furto di sessione, noto anche come furto di cookie.

Questo tipo di attacco informatico si verifica quando una terza parte non autorizzata prende il controllo della sessione web attiva di un utente rubando il cookie di sessione, spesso tramite malware sul dispositivo dell'utente. Un cookie di sessione è un piccolo file di dati contenente l'identificatore univoco della sessione emesso dal sito web durante l'accesso. Presentando questo cookie rubato, l'aggressore può impersonare l'utente legittimo e continuare la sessione autenticata.

DBSC funziona associando la sessione di un utente al suo dispositivo specifico, rendendo difficile per gli aggressori utilizzare i cookie rubati su altri dispositivi. Utilizzando DBSC, puoi ridurre il rischio di accesso non autorizzato agli account utente, mantenendo al sicuro i dati sensibili degli utenti.

Requisiti per l'utilizzo di DBSC

  • Chrome per Windows: al momento, DBSC è disponibile solo nel browser Chrome per i dispositivi Windows.
  • Sicurezza hardware (TPM): il dispositivo dell'utente deve avere un Trusted Platform Module (TPM), un componente hardware standard già disponibile per la maggior parte dei dispositivi con Windows 11. Questo hardware archivia in modo sicuro le chiavi crittografiche utilizzate per associare la sessione al dispositivo. In genere, gli utenti possono trovare informazioni sulla disponibilità del TPM nelle impostazioni di sistema del dispositivo o consultando la documentazione del produttore del dispositivo.
  • Versione di Chrome: l'utente deve avere Chrome versione 136 o successive. Per maggiori dettagli, vai a Aggiornare Google Chrome.
  • Account principale: i dati degli eventi di log e della protezione DBSC sono disponibili solo per l'account principale in un profilo del browser Chrome.

Nota: il vincolo della sessione protegge la maggior parte dei cookie di Google, anche se alcuni cookie o sessioni potrebbero rimanere non vincolati.

Attivare DBSC

Prima di iniziare: se necessario, scopri come applicare l'impostazione a un reparto o a un gruppo.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poi Accesso e controllo dei dati e poi Controllo sessione Google.

    È necessario disporre del privilegio di amministratore Impostazioni di sicurezza.

  2. (Facoltativo) Per applicare l'impostazione solo per alcuni utenti, seleziona a lato un'unità organizzativa (spesso utilizzata per i reparti) o un gruppo di configurazione (avanzata).

    Viene eseguito l'override delle impostazioni del gruppo sulle unità organizzative. Scopri di più

  3. Per Credenziali della sessione associate al dispositivo, seleziona Attiva le credenziali della sessione associate al dispositivo.
  4. Fai clic su Salva. In alternativa, puoi fare clic su Sostituisci per un'unità organizzativa.

    Per ripristinare in un secondo momento il valore ereditato, fai clic su Eredita (o Annulla impostazioni per un gruppo).

Applicare le credenziali di sessione associate al dispositivo con l'accesso sensibile al contesto

Limitato alle app web desktop e non applicabile ad API o app mobile

Puoi migliorare ulteriormente la sicurezza richiedendo agli utenti di disporre del controllo delle autorizzazioni a livello di dispositivo per accedere ad app Google Workspace specifiche. Quando applichi le credenziali di sessione associate al dispositivo, agli utenti viene chiesto di accedere di nuovo se il sistema rileva una differenza con una sessione associata stabilita in precedenza. Questa riautenticazione consente al sistema di tentare una nuova associazione sicura. Gli utenti su piattaforme non supportate non possono accedere all'app protetta. Questa misura di sicurezza viene configurata tramite l'accesso sensibile al contesto.

Per configurare l'applicazione del criterio DBSC:

  1. Attiva le credenziali di sessione associate al dispositivo per gli utenti che vuoi proteggere. Per i passaggi, vai ad Attivare le credenziali di sessione associate al dispositivo.
  2. Segui le istruzioni per creare un livello di accesso personalizzato in Consenti l'accesso alle app solo da sessioni legate a DBSC .
  3. Assegna il livello di accesso alle app a cui vuoi che venga eseguito l'accesso solo da sessioni vincolate a DBSC in modalità di monitoraggio per simulare l'applicazione forzata senza bloccare l'accesso degli utenti.
  4. Dopo aver valutato l'impatto, assegna i livelli di accesso in modalità attiva per applicare l'accesso solo per le sessioni legate a DBSC. Per maggiori dettagli, vai a Esegui il deployment dell'accesso sensibile al contesto.

L'applicazione forzata di DBSC non è immediata, il che significa che dopo l'accesso di un utente è previsto un periodo di tolleranza prima dell'applicazione. Questa progettazione tiene conto di potenziali problemi di associazione temporanei. Una volta associato, il sistema controlla periodicamente se gli utenti che accedono alle app specificate hanno sessioni associate a DBSC. Qualsiasi autenticazione di nuovo reimposta questo periodo di tolleranza e DBSC non verrà applicato durante l'autenticazione di nuovo.

Indagare sulla protezione DBSC e sui problemi di sessione

Puoi utilizzare lo strumento di indagine sulla sicurezza per monitorare la protezione DBSC e risolvere i problemi di interruzione della sessione. Esistono due origini log per l'attività DBSC:

  • Eventi del log utente : monitora l'associazione dei token di accesso ai dispositivi degli utenti.
  • Eventi del log di valutazione dell'accesso : esamina lo stato di cookie specifici.

Passaggio 1: cerca l'attività DBSC negli eventi del log utente eventi

Utilizza questa origine dati per verificare se DBSC associa correttamente le chiavi ai dispositivi degli utenti e convalida le sessioni.

Per verificare se DBSC associa le chiavi:

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poi Centro sicurezza e poi Strumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Per Origine dati, seleziona Log utente eventi.
  3. Fai clic su Aggiungi condizione.
  4. Per Attributo, seleziona Eventoe poiÈ come operatoree poiAssociazione chiave DBSC come evento.
  5. Fai clic su Cerca.
  6. Nella tabella dei risultati, esamina la colonna Stato evento :
    • Riuscito : la protezione DBSC è attivata per l' utente e la sessione è protetta.
    • Non riuscito : l'associazione DBSC non è riuscita e la protezione non è attivata per l'utente.
    • Nessun risultato: la protezione DBSC non è stata tentata per questa sessione utente.

Per verificare se DBSC convalida le sessioni:

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poi Centro sicurezza e poi Strumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Fai clic su Aggiungi condizione.
  3. Per Attributo, seleziona Eventoe poiÈ come operatoree poiConvalida chiave DBSC come evento.
  4. Fai clic su Cerca.
  5. Nella tabella dei risultati, esamina la colonna Stato evento :
    • Riuscito : il cookie è stato convalidato correttamente.
    • Non riuscito : la convalida DBSC non è riuscita. Fai clic sullo stato per visualizzare informazioni aggiuntive, ad esempio un codice di errore.

Un errore non significa necessariamente che l'utente stia riscontrando interruzioni della sessione. Gli utenti potrebbero subire interruzioni se si verificano più errori di convalida consecutivi.

Passaggio 2: verifica la presenza di negazioni dell'accesso negli eventi del log di valutazione dell'accesso

Utilizza questa origine dati per verificare se l'accesso al cookie di un utente è stato negato accesso.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poi Centro sicurezza e poi Strumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Per Origine dati, seleziona Eventi del log di valutazione dell'accesso.
  3. Fai clic su Aggiungi condizione.
  4. Per Attributo, seleziona Eventoe poiÈ come operatoree poiNega richiesta di convalida cookie come evento.
  5. Fai clic su Cerca.
  6. Nella tabella dei risultati, fai clic su Negato nella colonna Stato evento o sul link nella colonna Descrizione per aprire un riquadro laterale in cui puoi esaminare i seguenti motivi di errore:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Gli eventi di log sono raggruppati per sessione. Viene registrato un solo evento per utente ogni ora, anche se durante questo periodo vengono bloccati più tentativi di accesso.

Passaggio 3: verifica se le interruzioni della sessione sono causate da DBSC

Gli utenti possono essere disconnessi per vari motivi, ad esempio limiti di durata della sessione norme definite dall'amministratore o problemi di rete. Sebbene una disconnessione non indichi sempre un problema di DBSC, sequenze di log specifiche possono aiutare a identificare potenziali attività correlate a DBSC o istanze in cui il sistema ha bloccato una sessione compromessa.

Utilizza questi punti per identificare l'attività correlata a DBSC:

  • Esamina le sequenze di log: se trovi errori di convalida chiave DBSC seguiti da una richiesta di convalida cookie negata , DBSC potrebbe essere la causa della disconnessione dell'utente.
  • Comprendi l'impatto sull'utente: per mantenere al sicuro l'account, un utente deve accedere di nuovo se il processo di associazione rileva un errore.
  • Esenta gli utenti da DBSC: se un utente viene disconnesso di continuo, puoi creare un gruppo di configurazione esente da DBSC e aggiungere l'utente al gruppo per valutare se DBSC è la causa delle disconnessioni.


Google, Google Workspace e i marchi e i loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.