Mencegah pencurian cookie dengan pengikatan sesi

Google Workspace secara otomatis meningkatkan keamanan sesi online pengguna dengan menggunakan Kredensial Sesi yang Terikat Perangkat (DBSC). DBSC dirancang untuk mencegah pembajakan sesi, yang juga dikenal sebagai pencurian cookie.

Jenis serangan cyber ini terjadi saat pihak yang tidak sah mendapatkan kontrol atas sesi web aktif pengguna dengan mencuri cookie sesi—sering kali melalui malware di perangkat pengguna. Cookie sesi adalah file data kecil yang berisi ID sesi unik yang dikeluarkan oleh situs selama login. Dengan menampilkan cookie yang dicuri ini, penyerang dapat meniru identitas pengguna yang sah dan melanjutkan sesi autentikasi mereka.

DBSC berfungsi dengan mengikat sesi pengguna ke perangkat tertentu, sehingga penyerang akan kesulitan menggunakan cookie yang dicuri di perangkat lain. Hal ini akan membuat batas keamanan berbasis hardware yang mengurangi risiko akses tidak sah ke akun pengguna dan menjaga keamanan data sensitif. DBSC diaktifkan secara default untuk semua akun Workspace. Tidak ada tindakan administrator yang diperlukan untuk mengaktifkan perlindungan ini.

Persyaratan menggunakan DBSC

  • Browser Chrome: Versi 146 atau yang lebih baru untuk Windows. Untuk mengetahui detailnya, buka Mengupdate Google Chrome.
  • Keamanan hardware: Memerlukan fitur keamanan berbasis hardware untuk menyimpan kunci kriptografi yang digunakan untuk mengikat sesi ke perangkat dengan aman. Untuk Windows, fitur ini adalah Trusted Platform Module (TPM), yang merupakan fitur standar di sebagian besar perangkat yang menjalankan Windows 11. Lihat dokumentasi produsen perangkat Anda untuk mengonfirmasi kemampuan hardware.

Cara penerapan perlindungan DBSC

Perlindungan DBSC diterapkan secara otomatis saat perangkat dan browser pengguna memenuhi persyaratan teknis yang diperlukan. Dalam beberapa kasus, sesi mungkin tetap tidak terikat. Hal ini biasanya disebabkan oleh hal berikut:

  • Lingkungan yang tidak didukung—Masalah pada sistem operasi, versi browser, atau keamanan hardware pengguna (seperti TPM di Windows).
  • Sesi yang ada—Perlindungan DBSC hanya berlaku untuk sesi baru. Pengguna yang sudah login saat DBSC diaktifkan harus logout dan login lagi untuk mengikat sesi mereka.
  • Modifikasi browser—Ekstensi browser tertentu atau perubahan manual pada cookie dapat mencegah DBSC berfungsi dengan benar.

Menerapkan DBSC dengan Akses Kontekstual

Terbatas untuk aplikasi web desktop dan tidak berlaku untuk aplikasi seluler atau API

Anda dapat meningkatkan keamanan lebih lanjut dengan mewajibkan pengguna memiliki DBSC untuk mengakses aplikasi Google Workspace tertentu. Saat Anda menerapkan DBSC, pengguna akan diminta untuk login lagi jika sistem mendeteksi perbedaan dengan sesi terikat yang sebelumnya dibuat. Autentikasi ulang ini memungkinkan sistem mencoba pengikatan baru yang aman. Pengguna di platform yang tidak didukung akan diblokir agar tidak dapat mengakses aplikasi yang dilindungi. Langkah keamanan ini dikonfigurasi melalui Akses Kontekstual.

Untuk menyiapkan penerapan DBSC:

  1. Ikuti petunjuk untuk membuat tingkat akses kustom di Mengizinkan akses ke aplikasi hanya dari sesi terikat DBSC.
  2. Tetapkan tingkat akses ke aplikasi yang hanya ingin Anda akses oleh sesi terikat DBSC dalam mode pantau untuk menyimulasikan penerapan tanpa memblokir akses pengguna.
  3. Setelah menilai dampaknya, tetapkan tingkat akses dalam mode aktif untuk menerapkan akses hanya oleh sesi terikat DBSC. Untuk mengetahui detailnya, buka Men-deploy Akses Kontekstual.

Penerapan DBSC tidak langsung, yang berarti bahwa setelah pengguna login, ada masa tenggang sebelum penerapan diterapkan. Desain ini mengakomodasi potensi masalah pengikatan sementara. Setelah terikat, sistem akan secara berkala memeriksa apakah pengguna yang mengakses aplikasi tertentu memiliki sesi terikat DBSC. Setiap autentikasi ulang akan mereset masa tenggang ini, dan DBSC tidak akan diterapkan selama autentikasi ulang tersebut.

Menyelidiki masalah perlindungan &sesi DBSC

Anda dapat menggunakan alat investigasi keamanan untuk memantau perlindungan DBSC dan memecahkan masalah gangguan sesi. Ada 2 sumber log untuk aktivitas DBSC:

  • Peristiwa log pengguna—Pantau pengikatan token akses ke perangkat pengguna.
  • Peristiwa log Evaluasi Akses—Tinjau status cookie tertentu.

Catatan: Peristiwa log DBSC hanya terlihat untuk akun utama jika beberapa akun pengguna login ke profil browser Chrome yang sama.

Langkah 1: Cari aktivitas DBSC di Peristiwa log pengguna

Gunakan sumber data ini untuk melihat apakah DBSC berhasil mengikat kunci ke perangkat pengguna perangkat dan memvalidasi sesi.

Untuk memeriksa apakah DBSC mengikat kunci:

  1. Di konsol Google Admin, buka Menu lalu Keamanan lalu Pusat keamanan lalu Alat investigasi.

    Anda harus memiliki hak istimewa administrator Pusat keamanan.

  2. Untuk Sumber data, pilih Peristiwa log pengguna.
  3. Klik Tambahkan Kondisi.
  4. Untuk Atribut, pilih PeristiwalaluIs sebagai operatorlaluBinding kunci DBSC sebagai peristiwa.
  5. Klik Telusuri.
  6. Di tabel hasil, tinjau kolom Status peristiwa :
    • Berhasil—Perlindungan DBSC diaktifkan untuk pengguna, dan sesi dilindungi.
    • Gagal—Pengikatan DBSC gagal, dan perlindungan tidak diaktifkan untuk pengguna.
    • Tidak ada hasil—Perlindungan DBSC tidak dicoba untuk sesi pengguna ini.

Untuk memeriksa apakah DBSC memvalidasi sesi:

  1. Di konsol Google Admin, buka Menu lalu Keamanan lalu Pusat keamanan lalu Alat investigasi.

    Anda harus memiliki hak istimewa administrator Pusat keamanan.

  2. Klik Tambahkan Kondisi.
  3. Untuk Atribut, pilih PeristiwalaluIs sebagai operatorlaluValidasi kunci DBSC sebagai peristiwa.
  4. Klik Telusuri.
  5. Di tabel hasil, tinjau kolom Status peristiwa :
    • Berhasil—Cookie berhasil divalidasi.
    • Gagal—Validasi DBSC gagal. Klik status untuk mendapatkan informasi tambahan, seperti kode error.

Satu kegagalan tidak selalu berarti pengguna mengalami gangguan sesi. Pengguna mungkin mengalami gangguan jika beberapa kegagalan validasi terjadi secara berurutan.

Langkah 2: Periksa penolakan akses di Peristiwa log Evaluasi Akses

Gunakan sumber data ini untuk melihat apakah cookie pengguna ditolak aksesnya.

  1. Di konsol Google Admin, buka Menu lalu Keamanan lalu Pusat keamanan lalu Alat investigasi.

    Anda harus memiliki hak istimewa administrator Pusat keamanan.

  2. Untuk Sumber data, pilih Peristiwa log Evaluasi Akses.
  3. Klik Tambahkan Kondisi.
  4. Untuk Atribut, pilih PeristiwalaluIs sebagai operatorlaluTolak Permintaan Validasi Cookie sebagai peristiwa.
  5. Klik Telusuri.
  6. Di tabel hasil, klik Ditolak di kolom Status peristiwa atau link di kolom Deskripsi untuk membuka panel samping tempat Anda dapat meninjau alasan kegagalan berikut:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Peristiwa log dikelompokkan berdasarkan sesi. Untuk mengelola volume log, hanya satu peristiwa dicatat per jam untuk setiap sesi dan jenis kegagalan yang unik. Upaya lain dengan detail yang sama tidak akan dicatat selama jam tersebut.

Langkah 3: Selidiki apakah gangguan sesi disebabkan oleh DBSC

Pengguna dapat logout karena berbagai alasan, seperti batas durasi sesi, kebijakan yang ditentukan administrator, atau masalah jaringan. Meskipun logout tidak selalu menunjukkan masalah DBSC, urutan log tertentu dapat membantu mengidentifikasi potensi aktivitas terkait DBSC atau instance saat sistem memblokir sesi yang terganggu.

Gunakan poin-poin ini untuk membantu mengidentifikasi aktivitas terkait DBSC:

  • Tinjau urutan log—Jika Anda menemukan kegagalan Validasi kunci DBSC yang diikuti oleh Tolak Permintaan Validasi Cookie , DBSC dapat menjadi penyebab logout pengguna.
  • Pahami dampaknya terhadap pengguna—Untuk menjaga keamanan akun, pengguna harus login lagi jika proses pengikatan mengalami error.


Google, Google Workspace, serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang milik setiap perusahaan terkait.