Mencegah pencurian cookie dengan pengikatan sesi

Google Workspace secara otomatis meningkatkan keamanan sesi online pengguna Anda dengan menggunakan Kredensial Sesi Terikat Perangkat (DBSC). DBSC dirancang untuk mencegah pembajakan sesi, yang juga dikenal sebagai pencurian cookie.

Jenis serangan cyber ini terjadi saat pihak yang tidak sah mendapatkan kontrol atas sesi web aktif pengguna dengan mencuri cookie sesi—sering kali melalui malware di perangkat pengguna. Cookie sesi adalah file data kecil yang berisi ID sesi unik yang dikeluarkan oleh situs saat login. Dengan menampilkan cookie yang dicuri ini, penyerang dapat meniru identitas pengguna yang sah dan melanjutkan sesi autentikasi mereka.

DBSC berfungsi dengan mengikat sesi pengguna ke perangkat tertentu, sehingga mempersulit penyerang untuk menggunakan cookie curian di perangkat lain. Tindakan ini akan membuat batas keamanan berbasis hardware yang mengurangi risiko akses tidak sah ke akun pengguna dan menjaga keamanan data sensitif. DBSC aktif secara default untuk semua akun Workspace. Administrator tidak perlu melakukan tindakan apa pun untuk mengaktifkan perlindungan ini.

Persyaratan menggunakan DBSC

  • Browser Chrome: Versi 146 atau yang lebih baru untuk Windows. Untuk mengetahui detailnya, buka Mengupdate Google Chrome.
  • Keamanan hardware: Mewajibkan fitur keamanan berbasis hardware untuk menyimpan kunci kriptografi yang digunakan untuk mengikat sesi ke perangkat secara aman. Untuk Windows, ini adalah Trusted Platform Module (TPM), yang merupakan standar di sebagian besar perangkat yang menjalankan Windows 11. Lihat dokumentasi produsen perangkat Anda untuk mengonfirmasi kemampuan hardware.

Cara penerapan perlindungan DBSC

Perlindungan DBSC diterapkan secara otomatis saat perangkat dan browser pengguna memenuhi persyaratan teknis yang diperlukan. Dalam beberapa kasus, sesi mungkin tetap tidak terikat. Hal ini biasanya disebabkan oleh hal berikut:

  • Lingkungan yang tidak didukung—Masalah pada sistem operasi pengguna, versi browser, atau keamanan hardware (seperti TPM di Windows).
  • Sesi yang ada—Perlindungan DBSC hanya berlaku untuk sesi baru. Pengguna yang sudah login saat DBSC diaktifkan harus logout dan login lagi untuk mengikat sesi mereka.
  • Modifikasi browser—Ekstensi browser tertentu atau perubahan manual pada cookie dapat mencegah DBSC berfungsi dengan benar.

Menerapkan DBSC dengan Akses Kontekstual

Terbatas untuk aplikasi web desktop dan tidak berlaku untuk aplikasi seluler atau API

Anda dapat meningkatkan keamanan lebih lanjut dengan mewajibkan pengguna memiliki DBSC untuk mengakses aplikasi Google Workspace tertentu. Saat Anda menerapkan DBSC, pengguna akan diminta untuk login kembali jika sistem mendeteksi perbedaan dengan sesi terikat yang dibuat sebelumnya. Autentikasi ulang ini memungkinkan sistem mencoba pengikatan baru yang aman. Pengguna di platform yang tidak didukung diblokir agar tidak dapat mengakses aplikasi yang dilindungi. Langkah keamanan ini dikonfigurasi melalui Akses Kontekstual.

Untuk menyiapkan penerapan DBSC:

  1. Ikuti petunjuk untuk membuat tingkat akses kustom di Mengizinkan akses ke aplikasi hanya dari sesi terikat DBSC.
  2. Tetapkan tingkat akses ke aplikasi yang hanya ingin Anda akses oleh sesi terikat DBSC dalam mode pantau untuk menyimulasikan penerapan tanpa memblokir akses pengguna.
  3. Setelah menilai dampaknya, tetapkan tingkat akses dalam mode aktif untuk menerapkan akses hanya oleh sesi terikat DBSC. Untuk mengetahui detailnya, buka Men-deploy Akses Kontekstual.

Penerapan DBSC tidak langsung, yang berarti bahwa setelah pengguna login, ada masa tenggang sebelum penerapan diterapkan. Desain ini mengakomodasi potensi masalah binding sementara. Setelah terikat, sistem akan memeriksa secara berkala apakah pengguna yang mengakses aplikasi yang ditentukan memiliki sesi terikat DBSC. Setiap autentikasi ulang akan mereset masa tenggang ini, dan DBSC tidak akan diterapkan selama autentikasi ulang tersebut.

Menyelidiki masalah perlindungan & sesi DBSC

Anda dapat menggunakan alat investigasi keamanan untuk memantau perlindungan DBSC dan memecahkan masalah gangguan sesi. Ada 2 sumber log untuk aktivitas DBSC:

  • Peristiwa log pengguna—Memantau pengikatan token akses ke perangkat pengguna.
  • Peristiwa log Evaluasi Akses—Tinjau status cookie tertentu.

Catatan: Peristiwa log DBSC hanya terlihat untuk akun utama jika beberapa akun pengguna login ke profil browser Chrome yang sama.

Langkah 1: Telusuri aktivitas DBSC di Peristiwa log pengguna

Gunakan sumber data ini untuk melihat apakah DBSC berhasil mengikat kunci ke perangkat pengguna dan memvalidasi sesi.

Untuk memeriksa apakah DBSC mengikat kunci:

  1. Di konsol Google Admin, buka Menu lalu Keamanan lalu Pusat keamanan lalu Alat investigasi.

    Anda harus memiliki hak istimewa administrator Pusat keamanan.

  2. Untuk Sumber data, pilih Peristiwa log pengguna.
  3. Klik Tambahkan Kondisi.
  4. Untuk Atribut, pilih PeristiwalaluIs sebagai operatorlaluPengikatan kunci DBSC sebagai peristiwa.
  5. Klik Telusuri.
  6. Di tabel hasil, tinjau kolom Status acara:
    • Berhasil—Perlindungan DBSC diaktifkan untuk pengguna, dan sesi dilindungi.
    • Gagal—Pengikatan DBSC gagal, dan perlindungan tidak diaktifkan untuk pengguna.
    • Tidak ada hasil—Perlindungan DBSC tidak dicoba untuk sesi pengguna ini.

Untuk memeriksa apakah DBSC memvalidasi sesi:

  1. Di konsol Google Admin, buka Menu lalu Keamanan lalu Pusat keamanan lalu Alat investigasi.

    Anda harus memiliki hak istimewa administrator Pusat keamanan.

  2. Klik Tambahkan Kondisi.
  3. Untuk Atribut, pilih PeristiwalaluAdalah sebagai operatorlaluValidasi kunci DBSC sebagai peristiwa.
  4. Klik Telusuri.
  5. Di tabel hasil, tinjau kolom Status acara:
    • Berhasil—Cookie berhasil divalidasi.
    • Gagal—Validasi DBSC gagal. Klik status untuk mendapatkan informasi tambahan, seperti kode error.

Satu kegagalan tidak berarti pengguna mengalami gangguan sesi. Pengguna mungkin mengalami gangguan jika beberapa kegagalan validasi terjadi secara berurutan.

Langkah 2: Periksa penolakan akses dalam peristiwa log Evaluasi Akses

Gunakan sumber data ini untuk melihat apakah cookie pengguna ditolak aksesnya.

  1. Di konsol Google Admin, buka Menu lalu Keamanan lalu Pusat keamanan lalu Alat investigasi.

    Anda harus memiliki hak istimewa administrator Pusat keamanan.

  2. Untuk Sumber data, pilih Peristiwa log Evaluasi Akses.
  3. Klik Tambahkan Kondisi.
  4. Untuk Atribut, pilih PeristiwalaluAdalah sebagai operatorlaluTolak Permintaan Validasi Cookie sebagai peristiwa.
  5. Klik Telusuri.
  6. Di tabel hasil, klik Ditolak di kolom Status peristiwa atau link di kolom Deskripsi untuk membuka panel samping tempat Anda dapat meninjau alasan kegagalan berikut:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Peristiwa log dikelompokkan berdasarkan sesi. Untuk mengelola volume log, hanya satu peristiwa yang dicatat per jam untuk setiap sesi unik dan jenis kegagalan. Upaya lain dengan detail yang sama tidak dicatat selama satu jam tersebut.

Langkah 3: Selidiki apakah gangguan sesi disebabkan oleh DBSC

Pengguna dapat logout karena berbagai alasan, seperti batas durasi sesi, kebijakan yang ditentukan administrator, atau masalah jaringan. Meskipun logout tidak selalu menunjukkan masalah DBSC, urutan log tertentu dapat membantu mengidentifikasi potensi aktivitas terkait DBSC atau instance saat sistem memblokir sesi yang disusupi.

Gunakan poin-poin ini untuk membantu mengidentifikasi aktivitas terkait DBSC:

  • Tinjau urutan log—Jika Anda menemukan kegagalan validasi kunci DBSC yang diikuti dengan Permintaan Validasi Cookie Ditolak, DBSC dapat menjadi penyebab logout pengguna.
  • Memahami dampak bagi pengguna—Untuk menjaga keamanan akun, pengguna harus login lagi jika proses binding mengalami error.


Google, Google Workspace, serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang milik setiap perusahaan terkait.