Previeni il furto di cookie con l'associazione di sessione (beta)

In qualità di amministratore, puoi migliorare la sicurezza delle sessioni online dei tuoi utenti implementando le credenziali di sessione associate al dispositivo (DBSC). DBSC è progettato per impedire il furto di sessione, noto anche come furto di cookie.

Questo tipo di attacco informatico si verifica quando una terza parte non autorizzata prende il controllo della sessione web attiva di un utente rubando il cookie di sessione, spesso tramite malware sul dispositivo dell'utente. Un cookie di sessione è un piccolo file di dati contenente l'identificatore univoco della sessione emesso dal sito web durante l'accesso. Presentando questo cookie rubato, il malintenzionato può rubare l'identità dell'utente legittimo e continuare la sessione autenticata.

Le credenziali di sessione associate al dispositivo funzionano associando la sessione di un utente al suo dispositivo specifico, rendendo difficile per gli utenti malintenzionati utilizzare i cookie rubati su altri dispositivi. Utilizzando DBSC, puoi ridurre il rischio di accessi non autorizzati agli account utente, proteggendo i dati utente sensibili.

Requisiti per l'utilizzo di DBSC

  • Chrome per Windows: al momento, le credenziali di sessione associate al dispositivo sono disponibili solo sul browser Chrome per i dispositivi Windows.
  • Sicurezza hardware (TPM): il dispositivo dell'utente deve avere un Trusted Platform Module (TPM), un componente hardware standard già disponibile per la maggior parte dei dispositivi con Windows 11. Questo hardware archivia in modo sicuro le chiavi crittografiche utilizzate per vincolare la sessione al dispositivo. In genere, gli utenti possono trovare informazioni sulla disponibilità del TPM nelle impostazioni di sistema del dispositivo o consultando la documentazione del produttore del dispositivo.
  • Versione di Chrome: l'utente deve avere Chrome 136 o versioni successive. Per maggiori dettagli, vai alla pagina Aggiornare Google Chrome.
  • Account principale: i dati di protezione DBSC e i dati sugli eventi di log sono disponibili solo per l'account principale in un profilo del browser Chrome.

Nota: il vincolo della sessione protegge la maggior parte dei cookie di Google, anche se alcuni cookie o sessioni potrebbero rimanere non vincolati.

Attivare le credenziali di sessione associate al dispositivo

Prima di iniziare: se necessario, scopri come applicare l'impostazione a un reparto o a un gruppo.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poi Accesso e controllo dei dati e poi Controllo sessione Google.

    È necessario disporre del privilegio di amministratore Impostazioni di sicurezza.

  2. (Facoltativo) Per applicare l'impostazione solo per alcuni utenti, seleziona a lato un'unità organizzativa (spesso utilizzata per i reparti) o un gruppo di configurazione (avanzata).

    Viene eseguito l'override delle impostazioni del gruppo sulle unità organizzative. Scopri di più

  3. Per Credenziali della sessione associate al dispositivo, seleziona Attiva le credenziali della sessione associate al dispositivo.
  4. Fai clic su Salva. In alternativa, puoi fare clic su Sostituisci per un'unità organizzativa.

    Per ripristinare in un secondo momento il valore ereditato, fai clic su Eredita (o Annulla impostazioni per un gruppo).

Applicare le credenziali di sessione associate al dispositivo con l'accesso sensibile al contesto

Limitato alle app web desktop e non applicabile ad API o app mobile

Puoi migliorare ulteriormente la sicurezza richiedendo agli utenti di disporre del controllo delle autorizzazioni a livello di dispositivo per accedere ad app Google Workspace specifiche. Quando applichi le credenziali di sessione associate al dispositivo, agli utenti viene chiesto di accedere di nuovo se il sistema rileva una differenza con una sessione associata stabilita in precedenza. Questa riautenticazione consente al sistema di tentare un nuovo binding sicuro. Agli utenti su piattaforme non supportate viene impedito l'accesso all'app protetta. Questa misura di sicurezza viene configurata tramite l'accesso sensibile al contesto.

Per configurare l'applicazione del criterio DBSC:

  1. Attiva le credenziali di sessione associate al dispositivo per gli utenti che vuoi proteggere. Per la procedura, vai ad Attivare DBSC.
  2. Segui le istruzioni per creare un livello di accesso personalizzato in Consenti l'accesso alle app solo da sessioni legate a DBSC.
  3. Assegna il livello di accesso alle app a cui vuoi che venga eseguito l'accesso solo da sessioni vincolate a DBSC in modalità di monitoraggio per simulare l'applicazione forzata senza bloccare l'accesso degli utenti.
  4. Dopo aver valutato l'impatto, assegna i livelli di accesso in modalità attiva per applicare l'accesso solo per le sessioni legate a DBSC. Per maggiori dettagli, vai a Eseguire il deployment dell'accesso sensibile al contesto.

L'applicazione forzata di DBSC non è immediata, il che significa che dopo l'accesso di un utente è previsto un periodo di tolleranza prima dell'applicazione. Questo design risolve i potenziali problemi di associazione temporanea. Una volta associate, il sistema controlla periodicamente se gli utenti che accedono alle app specificate hanno sessioni associate al dispositivo. Qualsiasi autenticazione di nuovo reimposta questo periodo di tolleranza e DBSC non verrà applicato durante l'autenticazione di nuovo.

Esaminare i problemi di protezione e sessione delle credenziali di sessione associate al dispositivo (DBSC)

Puoi utilizzare lo strumento di indagine sulla sicurezza per monitorare la protezione DBSC e risolvere i problemi relativi alle interruzioni di sessione. Esistono due origini log per l'attività DBSC:

  • Eventi del log utente: monitora il binding dei token di accesso ai dispositivi utente.
  • Eventi del log di valutazione dell'accesso: esamina lo stato di cookie specifici.

Passaggio 1: cerca l'attività DBSC negli eventi del log utente

Utilizza questa origine dati per verificare se le credenziali di sessione associate al dispositivo vincolano correttamente le chiavi ai dispositivi degli utenti e convalidano le sessioni.

Per verificare se DBSC sta associando le chiavi:

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poi Centro sicurezza e poi Strumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Per Origine dati, seleziona Eventi dei log utente.
  3. Fai clic su Aggiungi condizione.
  4. Per Attributo, seleziona Eventoe poiÈ come operatoree poiAssociazione chiave DBSC come evento.
  5. Fai clic su Cerca.
  6. Nella tabella dei risultati, esamina la colonna Stato evento:
    • Riuscita: la protezione delle credenziali di sessione associate al dispositivo è attivata per l'utente e la sessione è protetta.
    • Non riuscito: l'associazione delle credenziali di sessione associate al dispositivo non è riuscita e la protezione non è attivata per l'utente.
    • Nessun risultato: la protezione DBSC non è stata tentata per questa sessione utente.

Per verificare se DBSC sta convalidando le sessioni:

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poi Centro sicurezza e poi Strumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Fai clic su Aggiungi condizione.
  3. Per Attributo, seleziona Eventoe poiÈ come operatoree poiConvalida chiave DBSC come evento.
  4. Fai clic su Cerca.
  5. Nella tabella dei risultati, esamina la colonna Stato evento:
    • Operazione riuscita: il cookie è stato convalidato correttamente.
    • Non riuscita: la convalida DBSC non è riuscita. Fai clic sullo stato per ottenere ulteriori informazioni, ad esempio un codice di errore.

Un errore non significa necessariamente che l'utente stia riscontrando interruzioni della sessione. Gli utenti potrebbero subire interruzioni se si verificano più errori di convalida in successione.

Passaggio 2: controlla i negativi di accesso negli eventi del log di valutazione dell'accesso

Utilizza questa origine dati per verificare se l'accesso al cookie di un utente è stato negato.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poi Centro sicurezza e poi Strumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Per Origine dati, seleziona Eventi del log di valutazione dell'accesso.
  3. Fai clic su Aggiungi condizione.
  4. Per Attributo, seleziona Eventoe poiÈ come operatoree poiNega richiesta di convalida dei cookie come evento.
  5. Fai clic su Cerca.
  6. Nella tabella dei risultati, fai clic su Rifiutato nella colonna Stato evento o sul link nella colonna Descrizione per aprire un riquadro laterale in cui puoi esaminare i seguenti motivi di errore:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Gli eventi di log vengono raggruppati per sessione. Viene registrato un solo evento per utente ogni ora, anche se durante questo periodo vengono bloccati più tentativi di accesso.

Passaggio 3: verifica se le interruzioni della sessione sono causate da DBSC

Gli utenti possono essere disconnessi per vari motivi, ad esempio limiti di durata della sessione, norme definite dall'amministratore o problemi di rete. Sebbene una disconnessione non indichi sempre un problema con DBSC, sequenze di log specifiche possono aiutare a identificare potenziali attività correlate a DBSC o istanze in cui il sistema ha bloccato una sessione compromessa.

Utilizza questi punti per identificare l'attività correlata a DBSC:

  • Esamina le sequenze di log: se trovi errori di convalida della chiave DBSC seguiti da una richiesta di negazione della convalida dei cookie, DBSC potrebbe essere la causa della disconnessione dell'utente.
  • Comprendere l'impatto sull'utente: per mantenere l'account al sicuro, un utente deve accedere di nuovo se la procedura di associazione rileva un errore.
  • Esenta gli utenti dal controllo dei dati dei clienti: se un utente viene disconnesso in modo costante, puoi creare un gruppo di configurazione esente dal controllo dei dati dei clienti e aggiungere l'utente al gruppo per valutare se il controllo dei dati dei clienti causa le disconnessioni.


Google, Google Workspace e i marchi e i loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.