Mencegah pencurian cookie dengan pengikatan sesi (beta)

Sebagai administrator, Anda dapat meningkatkan keamanan sesi online pengguna dengan menerapkan Kredensial Sesi yang Terikat Perangkat (DBSC). DBSC dirancang untuk mencegah pembajakan sesi, yang juga dikenal sebagai pencurian cookie.

Jenis serangan cyber ini terjadi saat pihak yang tidak sah mendapatkan kontrol atas sesi web aktif pengguna dengan mencuri cookie sesi—sering kali melalui malware di perangkat pengguna. Cookie sesi adalah file data kecil yang berisi ID sesi unik yang dikeluarkan oleh situs saat login. Dengan menampilkan cookie yang dicuri ini, penyerang dapat meniru identitas pengguna yang sah dan melanjutkan sesi autentikasi mereka.

DBSC berfungsi dengan mengikat sesi pengguna ke perangkat tertentu, sehingga mempersulit penyerang untuk menggunakan cookie curian di perangkat lain. Dengan menggunakan DBSC, Anda dapat menurunkan risiko akses tidak sah ke akun pengguna, dan menjaga keamanan data pengguna yang sensitif.

Persyaratan menggunakan DBSC

  • Chrome untuk Windows: Saat ini, DBSC hanya tersedia di browser Chrome untuk perangkat Windows.
  • Keamanan hardware (TPM): Perangkat pengguna harus memiliki Trusted Platform Module (TPM), yaitu komponen hardware standar yang sudah tersedia untuk sebagian besar perangkat yang menjalankan Windows 11. Hardware ini menyimpan kunci kriptografi yang digunakan untuk mengikat sesi ke perangkat dengan aman. Pengguna biasanya dapat menemukan informasi tentang ketersediaan TPM di setelan sistem perangkat mereka atau dengan melihat dokumentasi produsen perangkat.
  • Versi Chrome: Pengguna harus memiliki Chrome versi 136 atau yang lebih baru. Untuk detailnya, buka Mengupdate Google Chrome.
  • Akun utama: Perlindungan DBSC dan data peristiwa log hanya tersedia untuk akun utama dalam profil browser Chrome.

Catatan: Binding sesi melindungi sebagian besar cookie Google, meskipun beberapa cookie atau sesi mungkin tetap tidak terikat.

Mengaktifkan DBSC

Sebelum memulai: Jika diperlukan, pelajari cara menerapkan setelan ke departemen atau grup.

  1. Di konsol Google Admin, buka Menu lalu Keamanan lalu Kontrol data dan akses lalu Kontrol Sesi Google.

    Memerlukan hak istimewa administrator Setelan Keamanan.

  2. (Opsional) Guna menerapkan setelan hanya untuk beberapa pengguna, pilih unit organisasi (sering digunakan untuk departemen) atau konfigurasi grup (lanjutan) di bagian samping.

    Setelan grup menggantikan setelan unit organisasi. Pelajari lebih lanjut

  3. Untuk Kredensial Sesi yang Terikat Perangkat, pilih Aktifkan DBSC.
  4. Klik Simpan. Atau, Anda dapat mengklik Ganti untuk unit organisasi.

    Untuk memulihkan nilai yang diwarisi nanti, klik Warisi (atau Tidak disetel untuk grup).

Menerapkan DBSC dengan Akses Kontekstual

Terbatas untuk aplikasi web desktop dan tidak berlaku untuk aplikasi seluler atau API

Anda dapat meningkatkan keamanan lebih lanjut dengan mewajibkan pengguna memiliki DBSC untuk mengakses aplikasi Google Workspace tertentu. Saat Anda menerapkan DBSC, pengguna akan diminta untuk login kembali jika sistem mendeteksi perbedaan dengan sesi terikat yang dibuat sebelumnya. Autentikasi ulang ini memungkinkan sistem mencoba pengikatan baru yang aman. Pengguna di platform yang tidak didukung diblokir agar tidak dapat mengakses aplikasi yang dilindungi. Langkah keamanan ini dikonfigurasi melalui Akses Kontekstual.

Untuk menyiapkan penerapan DBSC:

  1. Aktifkan DBSC untuk pengguna yang ingin Anda lindungi. Untuk mengetahui langkah-langkahnya, buka Mengaktifkan DBSC.
  2. Ikuti petunjuk untuk membuat tingkat akses kustom di Mengizinkan akses ke aplikasi hanya dari sesi terikat DBSC.
  3. Tetapkan tingkat akses ke aplikasi yang hanya ingin Anda akses oleh sesi terikat DBSC dalam mode pantau untuk menyimulasikan penerapan tanpa memblokir akses pengguna.
  4. Setelah menilai dampaknya, tetapkan tingkat akses dalam mode aktif untuk menerapkan akses hanya oleh sesi terikat DBSC. Untuk mengetahui detailnya, buka Men-deploy Akses Kontekstual.

Penerapan DBSC tidak langsung, yang berarti bahwa setelah pengguna login, ada masa tenggang sebelum penerapan diterapkan. Desain ini mengakomodasi potensi masalah binding sementara. Setelah terikat, sistem akan memeriksa secara berkala apakah pengguna yang mengakses aplikasi yang ditentukan memiliki sesi terikat DBSC. Setiap autentikasi ulang akan mereset masa tenggang ini, dan DBSC tidak akan diterapkan selama autentikasi ulang tersebut.

Menyelidiki masalah perlindungan & sesi DBSC

Anda dapat menggunakan alat investigasi keamanan untuk memantau perlindungan DBSC dan memecahkan masalah gangguan sesi. Ada 2 sumber log untuk aktivitas DBSC:

  • Peristiwa log pengguna—Memantau pengikatan token akses ke perangkat pengguna.
  • Peristiwa log Evaluasi Akses—Tinjau status cookie tertentu.

Langkah 1: Telusuri aktivitas DBSC di peristiwa log pengguna

Gunakan sumber data ini untuk melihat apakah DBSC berhasil mengikat kunci ke perangkat pengguna dan memvalidasi sesi.

Untuk memeriksa apakah DBSC mengikat kunci:

  1. Di konsol Google Admin, buka Menu lalu Keamanan lalu Pusat keamanan lalu Alat investigasi.

    Anda harus memiliki hak istimewa administrator Pusat keamanan.

  2. Untuk Sumber data, pilih Peristiwa log pengguna.
  3. Klik Tambahkan Kondisi.
  4. Untuk Atribut, pilih PeristiwalaluIs sebagai operatorlaluPengikatan kunci DBSC sebagai peristiwa.
  5. Klik Telusuri.
  6. Di tabel hasil, tinjau kolom Status acara:
    • Berhasil—Perlindungan DBSC diaktifkan untuk pengguna, dan sesi dilindungi.
    • Gagal—Pengikatan DBSC gagal, dan perlindungan tidak diaktifkan untuk pengguna.
    • Tidak ada hasil—Perlindungan DBSC tidak dicoba untuk sesi pengguna ini.

Untuk memeriksa apakah DBSC memvalidasi sesi:

  1. Di konsol Google Admin, buka Menu lalu Keamanan lalu Pusat keamanan lalu Alat investigasi.

    Anda harus memiliki hak istimewa administrator Pusat keamanan.

  2. Klik Tambahkan Kondisi.
  3. Untuk Atribut, pilih PeristiwalaluIs sebagai operatorlaluValidasi kunci DBSC sebagai peristiwa.
  4. Klik Telusuri.
  5. Di tabel hasil, tinjau kolom Status acara:
    • Berhasil—Cookie berhasil divalidasi.
    • Gagal—Validasi DBSC gagal. Klik status untuk mendapatkan informasi tambahan, seperti kode error.

Satu kegagalan tidak berarti pengguna mengalami gangguan sesi. Pengguna mungkin mengalami gangguan jika beberapa kegagalan validasi terjadi secara berurutan.

Langkah 2: Periksa penolakan akses dalam peristiwa log Evaluasi Akses

Gunakan sumber data ini untuk melihat apakah cookie pengguna ditolak aksesnya.

  1. Di konsol Google Admin, buka Menu lalu Keamanan lalu Pusat keamanan lalu Alat investigasi.

    Anda harus memiliki hak istimewa administrator Pusat keamanan.

  2. Untuk Sumber data, pilih Peristiwa log Evaluasi Akses.
  3. Klik Tambahkan Kondisi.
  4. Untuk Atribut, pilih PeristiwalaluAdalah sebagai operatorlaluTolak Permintaan Validasi Cookie sebagai peristiwa.
  5. Klik Telusuri.
  6. Di tabel hasil, klik Ditolak di kolom Status acara atau link di kolom Deskripsi untuk membuka panel samping tempat Anda dapat meninjau alasan kegagalan berikut:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Peristiwa log dikelompokkan berdasarkan sesi. Hanya satu peristiwa yang dicatat per pengguna setiap jam, meskipun beberapa upaya akses diblokir selama waktu tersebut.

Langkah 3: Selidiki apakah gangguan sesi disebabkan oleh DBSC

Pengguna dapat logout karena berbagai alasan, seperti batas durasi sesi, kebijakan yang ditentukan administrator, atau masalah jaringan. Meskipun logout tidak selalu menunjukkan masalah DBSC, urutan log tertentu dapat membantu mengidentifikasi potensi aktivitas terkait DBSC atau instance saat sistem memblokir sesi yang disusupi.

Gunakan poin-poin ini untuk membantu mengidentifikasi aktivitas terkait DBSC:

  • Tinjau urutan log—Jika Anda menemukan kegagalan validasi kunci DBSC yang diikuti dengan Permintaan Validasi Cookie Ditolak, DBSC dapat menjadi penyebab logout pengguna.
  • Memahami dampak bagi pengguna—Untuk menjaga keamanan akun, pengguna harus login lagi jika proses binding mengalami error.
  • Mengecualikan pengguna dari DBSC—Jika pengguna terus-menerus di-logout, Anda dapat membuat grup konfigurasi yang dikecualikan dari DBSC dan menambahkan pengguna ke grup tersebut untuk mengevaluasi apakah DBSC menyebabkan logout.


Google, Google Workspace, serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang milik setiap perusahaan terkait.