Previeni il furto di cookie con l'associazione di sessione

Google Workspace migliora automaticamente la sicurezza delle sessioni online dei tuoi utenti utilizzando le credenziali di sessione associate al dispositivo (DBSC). DBSC è progettato per impedire il furto di sessione, noto anche come furto di cookie.

Questo tipo di attacco informatico si verifica quando una terza parte non autorizzata prende il controllo della sessione web attiva di un utente rubando il cookie di sessione, spesso tramite malware sul dispositivo dell'utente. Un cookie di sessione è un piccolo file di dati contenente l'identificatore univoco della sessione emesso dal sito web durante l'accesso. Presentando questo cookie rubato, il malintenzionato può rubare l'identità dell'utente legittimo e continuare la sessione autenticata.

Le credenziali di sessione associate al dispositivo funzionano associando la sessione di un utente al suo dispositivo specifico, rendendo difficile per gli utenti malintenzionati utilizzare i cookie rubati su altri dispositivi. In questo modo viene creato un confine di sicurezza basato sull'hardware che riduce il rischio di accesso non autorizzato agli account utente e protegge i dati sensibili. DBSC è attivo per impostazione predefinita per tutti gli account Workspace. Per attivare questa protezione non è necessaria alcuna azione da parte dell'amministratore.

Requisiti per l'utilizzo di DBSC

  • Browser Chrome: versione 146 o successive per Windows e versione 148 o successive per macOS. Per maggiori dettagli, vedi Aggiornare Google Chrome.
  • Sicurezza hardware:richiede funzionalità di sicurezza basate sull'hardware per archiviare in modo sicuro le chiavi crittografiche utilizzate per associare la sessione al dispositivo. Per Windows, si tratta di un Trusted Platform Module (TPM), standard sulla maggior parte dei dispositivi con Windows 11. Per macOS, si tratta di un'enclave sicura (disponibile sui laptop Mac più recenti). Consulta la documentazione del produttore del dispositivo per verificare le funzionalità hardware.

Come viene applicata la protezione DBSC

La protezione DBSC viene applicata automaticamente quando il dispositivo e il browser di un utente soddisfano i requisiti tecnici necessari. In alcuni casi, le sessioni potrebbero rimanere non associate. Tra le cause più comuni:

  • Ambiente non supportato: problemi con il sistema operativo, la versione del browser o la sicurezza hardware dell'utente (ad esempio un TPM su Windows).
  • Sessioni esistenti: la protezione DBSC si applica solo alle nuove sessioni. Gli utenti che avevano già eseguito l'accesso quando è stato attivato DBSC devono disconnettersi e accedere di nuovo per associare la sessione.
  • Modifiche al browser: alcune estensioni del browser o modifiche manuali ai cookie possono impedire il corretto funzionamento di DBSC.

Applicare le credenziali di sessione associate al dispositivo con l'accesso sensibile al contesto

Limitato alle app web desktop e non applicabile ad API o app mobile

Puoi migliorare ulteriormente la sicurezza richiedendo agli utenti di disporre del controllo delle autorizzazioni a livello di dispositivo per accedere ad app Google Workspace specifiche. Quando applichi le credenziali di sessione associate al dispositivo, agli utenti viene chiesto di accedere di nuovo se il sistema rileva una differenza con una sessione associata stabilita in precedenza. Questa riautenticazione consente al sistema di tentare un nuovo binding sicuro. Agli utenti su piattaforme non supportate viene impedito l'accesso all'app protetta. Questa misura di sicurezza viene configurata tramite l'accesso sensibile al contesto.

Per configurare l'applicazione del criterio DBSC:

  1. Segui le istruzioni per creare un livello di accesso personalizzato in Consenti l'accesso alle app solo da sessioni legate a DBSC.
  2. Assegna il livello di accesso alle app a cui vuoi che venga eseguito l'accesso solo da sessioni vincolate a DBSC in modalità di monitoraggio per simulare l'applicazione forzata senza bloccare l'accesso degli utenti.
  3. Dopo aver valutato l'impatto, assegna i livelli di accesso in modalità attiva per applicare l'accesso solo per le sessioni legate a DBSC. Per maggiori dettagli, vai a Eseguire il deployment dell'accesso sensibile al contesto.

L'applicazione forzata di DBSC non è immediata, il che significa che dopo l'accesso di un utente è previsto un periodo di tolleranza prima dell'applicazione. Questo design risolve i potenziali problemi di associazione temporanea. Una volta associate, il sistema controlla periodicamente se gli utenti che accedono alle app specificate hanno sessioni associate al dispositivo. Qualsiasi autenticazione di nuovo reimposta questo periodo di tolleranza e DBSC non verrà applicato durante l'autenticazione di nuovo.

Esaminare i problemi di protezione e sessione delle credenziali di sessione associate al dispositivo (DBSC)

Puoi utilizzare lo strumento di indagine sulla sicurezza per monitorare la protezione DBSC e risolvere i problemi relativi alle interruzioni di sessione. Esistono due origini log per l'attività DBSC:

  • Eventi del log utente: monitora il binding dei token di accesso ai dispositivi utente.
  • Eventi del log di valutazione dell'accesso: esamina lo stato di cookie specifici.

Nota:gli eventi dei log DBSC sono visibili solo per l'account principale quando più account utente hanno eseguito l'accesso allo stesso profilo del browser Chrome.

Passaggio 1: cerca l'attività DBSC negli eventi del log utente

Utilizza questa origine dati per verificare se DBSC associa correttamente le chiavi ai dispositivi degli utenti e convalida le sessioni.

Per verificare se DBSC sta associando le chiavi:

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poi Centro sicurezza e poi Strumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Per Origine dati, seleziona Eventi dei log utente.
  3. Fai clic su Aggiungi condizione.
  4. Per Attributo, seleziona Eventoe poiÈ come operatoree poiAssociazione chiave DBSC come evento.
  5. Fai clic su Cerca.
  6. Nella tabella dei risultati, esamina la colonna Stato evento:
    • Riuscita: la protezione DBSC è attivata per l'utente e la sessione è protetta.
    • Azione non riuscita: l'associazione DBSC non è riuscita e la protezione non è attivata per l'utente.
    • Nessun risultato: la protezione DBSC non è stata tentata per questa sessione utente.

Per verificare se DBSC sta convalidando le sessioni:

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poi Centro sicurezza e poi Strumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Fai clic su Aggiungi condizione.
  3. Per Attributo, seleziona Eventoe poiÈ come operatoree poiConvalida chiave DBSC come evento.
  4. Fai clic su Cerca.
  5. Nella tabella dei risultati, esamina la colonna Stato evento:
    • Operazione riuscita: il cookie è stato convalidato correttamente.
    • Non riuscita: la convalida DBSC non è riuscita. Fai clic sullo stato per ottenere ulteriori informazioni, ad esempio un codice di errore.

Un errore non significa necessariamente che l'utente stia riscontrando interruzioni della sessione. Gli utenti potrebbero subire interruzioni se si verificano più errori di convalida in successione.

Passaggio 2: controlla i negativi di accesso negli eventi del log di valutazione dell'accesso

Utilizza questa origine dati per verificare se l'accesso al cookie di un utente è stato negato.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poi Centro sicurezza e poi Strumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Per Origine dati, seleziona Eventi del log di valutazione dell'accesso.
  3. Fai clic su Aggiungi condizione.
  4. Per Attributo, seleziona Eventoe poiÈ come operatoree poiNega richiesta di convalida dei cookie come evento.
  5. Fai clic su Cerca.
  6. Nella tabella dei risultati, fai clic su Rifiutato nella colonna Stato evento o sul link nella colonna Descrizione per aprire un riquadro laterale in cui puoi esaminare i seguenti motivi di errore:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Gli eventi di log vengono raggruppati per sessione. Per gestire il volume dei log, viene registrato un solo evento all'ora per ogni sessione univoca e tipo di errore. Eventuali altri tentativi con gli stessi dettagli non vengono registrati durante l'ora.

Passaggio 3: verifica se le interruzioni della sessione sono causate da DBSC

Gli utenti possono essere disconnessi per vari motivi, ad esempio limiti di durata della sessione, norme definite dall'amministratore o problemi di rete. Sebbene una disconnessione non indichi sempre un problema DBSC, sequenze di log specifiche possono aiutare a identificare potenziali attività o istanze correlate a DBSC in cui il sistema ha bloccato una sessione compromessa.

Utilizza questi punti per identificare l'attività correlata a DBSC:

  • Esamina le sequenze di log: se trovi errori di convalida della chiave DBSC seguiti da una richiesta di negazione della convalida dei cookie, DBSC potrebbe essere la causa della disconnessione dell'utente.
  • Comprendere l'impatto sull'utente: per mantenere l'account al sicuro, un utente deve accedere di nuovo se la procedura di associazione rileva un errore.


Google, Google Workspace e i marchi e i loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.