सेशन बाइंडिंग (बीटा वर्शन) की मदद से, कुकी चोरी होने से रोकना

एडमिन के तौर पर, डिवाइस बाउंड सेशन क्रेडेंशियल (डीबीएससी) लागू करके, अपने उपयोगकर्ताओं के ऑनलाइन सेशन की सुरक्षा बढ़ाई जा सकती है. डीबीएससी को सेशन हाइजैकिंग से बचाने के लिए डिज़ाइन किया गया है. इसे आम तौर पर कुकी चोरी भी कहा जाता है.

इस तरह का साइबर हमला तब होता है, जब कोई अनधिकृत व्यक्ति सेशन कुकी चुराकर, उपयोगकर्ता के चालू वेब सेशन का कंट्रोल हासिल कर लेता है. ऐसा अक्सर उपयोगकर्ता के डिवाइस पर मौजूद मैलवेयर की मदद से किया जाता है. सेशन कुकी, डेटा की एक छोटी फ़ाइल होती है. इसमें साइन-इन के दौरान वेबसाइट की ओर से जारी किया गया यूनीक सेशन आइडेंटिफ़ायर होता है. चुराई गई इस कुकी को दिखाकर, हमलावर वैध उपयोगकर्ता के तौर पर काम कर सकता है और उसके पुष्टि किए गए सेशन को जारी रख सकता है.

डीबीएससी, उपयोगकर्ता के सेशन को उसके डिवाइस से बाइंड करके काम करता है. इससे हमलावरों के लिए, चुराई गई कुकी का इस्तेमाल दूसरे डिवाइसों पर करना मुश्किल हो जाता है. डीबीएससी का इस्तेमाल करके, उपयोगकर्ता खातों को बिना अनुमति के ऐक्सेस करने के जोखिम को कम किया जा सकता है. साथ ही, उपयोगकर्ता के संवेदनशील डेटा को सुरक्षित रखा जा सकता है.

डीबीएससी का इस्तेमाल करने के लिए ज़रूरी शर्तें

  • Windows के लिए Chrome: फ़िलहाल, डीबीएससी सिर्फ़ Windows डिवाइसों के लिए Chrome ब्राउज़र पर उपलब्ध है.
  • हार्डवेयर सुरक्षा (टीपीएम): उपयोगकर्ता के डिवाइस में ट्रस्टेड प्लैटफ़ॉर्म मॉड्यूल (टीपीएम) होना चाहिए. यह एक स्टैंडर्ड हार्डवेयर कॉम्पोनेंट है, जो Windows 11 पर चलने वाले ज़्यादातर डिवाइसों के लिए पहले से उपलब्ध है. यह हार्डवेयर, सेशन को डिवाइस से बाइंड करने के लिए इस्तेमाल की जाने वाली क्रिप्टोग्राफ़िक कुंजियों को सुरक्षित तरीके से स्टोर करता है. उपयोगकर्ता, आम तौर पर अपने डिवाइस की सिस्टम सेटिंग में जाकर या डिवाइस बनाने वाली कंपनी के दस्तावेज़ देखकर, टीपीएम की उपलब्धता के बारे में जानकारी पा सकते हैं.
  • Chrome का वर्शन: उपयोगकर्ता के पास Chrome का वर्शन 136 या इसके बाद का वर्शन होना चाहिए. ज़्यादा जानकारी के लिए, Google Chrome को अपडेट करना लेख पढ़ें.
  • मुख्य खाता: डीबीएससी की सुरक्षा और लॉग इवेंट का डेटा, Chrome ब्राउज़र प्रोफ़ाइल में सिर्फ़ मुख्य खाते के लिए उपलब्ध होता है.

ध्यान दें: सेशन बाइंडिंग की मदद से, Google की ज़्यादातर कुकी को सुरक्षित किया जा सकता है. हालांकि, कुछ कुकी या सेशन बाइंड नहीं किए जा सकते.

डीबीएससी की सेटिंग चालू करना

शुरू करने से पहले: अगर ज़रूरत हो, तो किसी डिपार्टमेंट या ग्रुप के लिए सेटिंग लागू करने का तरीका जानें.

  1. Google Admin console में, मेन्यू इसके बाद सुरक्षा इसके बाद ऐक्सेस और डेटा कंट्रोल इसके बाद Google सेशन कंट्रोल पर जाएं.

    इसके लिए, आपके पास सुरक्षा सेटिंग से जुड़ा एडमिन का अधिकार होना चाहिए.

  2. (ज़रूरी नहीं) अगर आपको यह सेटिंग सिर्फ़ कुछ उपयोगकर्ताओं के लिए लागू करनी है, तो साइड पैनल में जाकर संगठन की कोई इकाई (अक्सर डिपार्टमेंट के लिए इस्तेमाल की जाती है) या कॉन्फ़िगरेशन ग्रुप (एडवांस) चुनें.

    ग्रुप की सेटिंग, संगठन की इकाइयों पर लागू होती हैं. ज़्यादा जानें

  3. डिवाइस बाउंड सेशन क्रेडेंशियल के लिए, डीबीएससी की सेटिंग चालू करें को चुनें.
  4. सेव करें पर क्लिक करें. इसके अलावा, संगठन की किसी इकाई के लिए बदलाव लागू करें पर क्लिक किया जा सकता है.

    बाद में, इनहेरिट की गई वैल्यू को वापस लाने के लिए, इनहेरिट करें पर क्लिक करें. किसी ग्रुप के लिए, सेट नहीं करें पर क्लिक करें.

कॉन्टेक्स्ट अवेयर ऐक्सेस की मदद से, डीबीएससी लागू करना

यह सुविधा सिर्फ़ डेस्कटॉप वेब ऐप्लिकेशन के लिए उपलब्ध है. यह मोबाइल ऐप्लिकेशन या एपीआई के लिए उपलब्ध नहीं है

उपयोगकर्ताओं को Google Workspace के कुछ ऐप्लिकेशन ऐक्सेस करने के लिए, डीबीएससी की ज़रूरत होती है. इससे सुरक्षा को और बेहतर बनाया जा सकता है. डीबीएससी लागू करने पर, अगर सिस्टम को पहले से बाइंड किए गए सेशन में कोई अंतर दिखता है, तो उपयोगकर्ताओं को फिर से साइन इन करने के लिए कहा जाता है. फिर से पुष्टि करने की इस प्रोसेस से, सिस्टम सुरक्षित तरीके से नया सेशन बाइंड करने की कोशिश करता है. जिन प्लैटफ़ॉर्म पर डीबीएससी की सुविधा उपलब्ध नहीं है उन पर मौजूद उपयोगकर्ताओं को, सुरक्षित किए गए ऐप्लिकेशन को ऐक्सेस करने से ब्लॉक कर दिया जाता है. सुरक्षा के इस मेज़र को, कॉन्टेक्स्ट अवेयर ऐक्सेस की मदद से कॉन्फ़िगर किया जाता है.

डीबीएससी लागू करने की सेटिंग सेट अप करने के लिए:

  1. जिन उपयोगकर्ताओं के सेशन को सुरक्षित करना है उनके लिए, डीबीएससी की सेटिंग चालू करें. इसके लिए, डीबीएससी की सेटिंग चालू करना लेख पढ़ें.
  2. सिर्फ़ डीबीएससी से बाइंड किए गए सेशन से ऐप्लिकेशन ऐक्सेस करने की अनुमति दें में, कस्टम ऐक्सेस लेवल बनाने के लिए दिए गए निर्देशों का पालन करें.
  3. जिन ऐप्लिकेशन को सिर्फ़ डीबीएससी से बाइंड किए गए सेशन से ऐक्सेस किया जाना है उन्हें मॉनिटर मोड में ऐक्सेस लेवल असाइन करें. इससे, उपयोगकर्ता के ऐक्सेस को ब्लॉक किए बिना, डीबीएससी लागू करने की प्रोसेस को सिम्युलेट किया जा सकता है.
  4. उपयोगकर्ता पर पड़ने वाले असर का आकलन करने के बाद, ऐक्टिव मोड में ऐक्सेस लेवल असाइन करें. इससे, सिर्फ़ डीबीएससी से बाइंड किए गए सेशन से ऐक्सेस करने की सुविधा लागू की जा सकती है. ज़्यादा जानकारी के लिए, कॉन्टेक्स्ट अवेयर ऐक्सेस की सुविधा चालू करना लेख पढ़ें.

डीबीएससी तुरंत लागू नहीं होता. इसका मतलब है कि उपयोगकर्ता के साइन इन करने के बाद, डीबीएससी लागू होने से पहले कुछ समय के लिए छूट मिलती है. इस डिज़ाइन से, बाइंडिंग से जुड़ी अस्थायी समस्याओं को हल किया जा सकता है. बाइंड होने के बाद, सिस्टम समय-समय पर यह जांच करता है कि तय किए गए ऐप्लिकेशन को ऐक्सेस करने वाले उपयोगकर्ताओं के सेशन, डीबीएससी से बाइंड किए गए हैं या नहीं. फिर से पुष्टि करने पर, छूट की यह अवधि रीसेट हो जाएगी. साथ ही, फिर से पुष्टि करने के दौरान डीबीएससी लागू नहीं होगा.

डीबीएससी की सुरक्षा और सेशन से जुड़ी समस्याओं की जांच करना

डीबीएससी की सुरक्षा की निगरानी करने और सेशन में आने वाली रुकावटों को हल करने के लिए, सुरक्षा जांच टूल का इस्तेमाल किया जा सकता है. डीबीएससी की गतिविधि के लिए, लॉग के दो सोर्स होते हैं:

  • उपयोगकर्ता के लॉग इवेंट—उपयोगकर्ता के डिवाइसों पर, ऐक्सेस टोकन को बाइंड करने की प्रोसेस की निगरानी करना.
  • ऐक्सेस की जांच के लॉग इवेंट—खास कुकी के स्टेटस की समीक्षा करना.

पहला चरण: उपयोगकर्ता के लॉग इवेंट में, डीबीएससी की गतिविधि खोजना

इस डेटा सोर्स का इस्तेमाल करके, यह देखा जा सकता है कि डीबीएससी, उपयोगकर्ता के डिवाइसों पर कुंजियों को बाइंड कर रहा है या नहीं. साथ ही, यह भी देखा जा सकता है कि सेशन की पुष्टि हो रही है या नहीं.

यह देखने के लिए कि डीबीएससी, कुंजियों को बाइंड कर रहा है या नहीं:

  1. Google Admin console में, मेन्यू इसके बाद सुरक्षा इसके बाद सुरक्षा केंद्र इसके बाद जांच टूल पर जाएं.

    इसके लिए, आपके पास सुरक्षा केंद्र से जुड़ा एडमिन का अधिकार होना चाहिए.

  2. डेटा सोर्स के लिए, उपयोगकर्ता के लॉग इवेंट को चुनें.
  3. शर्त जोड़ें पर क्लिक करें.
  4. एट्रिब्यूट के लिए, इवेंटइसके बादहै ऑपरेटर के तौर परइसके बादडीबीएससी कुंजी को बाइंड करने का इवेंट इवेंट के तौर पर को चुनें.
  5. खोजें पर क्लिक करें.
  6. नतीजों की टेबल में, इवेंट का स्टेटस कॉलम देखें:
    • सफल—उपयोगकर्ता के लिए, डीबीएससी की सुरक्षा चालू है और सेशन सुरक्षित है.
    • असफल—डीबीएससी बाइंडिंग की प्रोसेस पूरी नहीं हुई है. साथ ही, उपयोगकर्ता के लिए सुरक्षा चालू नहीं है.
    • कोई नतीजा नहीं मिला—डीबीएससी सुरक्षा लागू करने की कोशिश नहीं की गई इस उपयोगकर्ता के सेशन के लिए.

यह देखने के लिए कि डीबीएससी, सेशन की पुष्टि कर रहा है या नहीं:

  1. Google Admin console में, मेन्यू इसके बाद सुरक्षा इसके बाद सुरक्षा केंद्र इसके बाद जांच टूल पर जाएं.

    इसके लिए, आपके पास सुरक्षा केंद्र से जुड़ा एडमिन का अधिकार होना चाहिए.

  2. शर्त जोड़ें पर क्लिक करें.
  3. एट्रिब्यूट के लिए, इवेंटइसके बादहै ऑपरेटर के तौर परइसके बादडीबीएससी कुंजी की पुष्टि करने का इवेंट इवेंट के तौर पर चुनें.
  4. खोजें पर क्लिक करें.
  5. नतीजों की टेबल में, इवेंट का स्टेटस कॉलम देखें:
    • सफल—कुकी की पुष्टि हो गई है.
    • असफल—डीबीएससी की पुष्टि नहीं हो सकी. ज़्यादा जानकारी पाने के लिए, स्टेटस पर क्लिक करें. जैसे, गड़बड़ी का कोड.

एक बार पुष्टि नहीं होने का मतलब यह नहीं है कि उपयोगकर्ता को सेशन में रुकावटें आ रही हैं. अगर पुष्टि नहीं होने की कई गड़बड़ियां एक के बाद एक होती हैं, तो उपयोगकर्ताओं को रुकावटें आ सकती हैं.

दूसरा चरण: ऐक्सेस की जांच के लॉग इवेंट में, ऐक्सेस से जुड़ी गड़बड़ियां देखना

इस डेटा सोर्स का इस्तेमाल करके, यह देखा जा सकता है कि किसी उपयोगकर्ता की कुकी को ऐक्सेस करने की अनुमति नहीं मिली है या नहीं.

  1. Google Admin console में, मेन्यू इसके बाद सुरक्षा इसके बाद सुरक्षा केंद्र इसके बाद जांच टूल पर जाएं.

    इसके लिए, आपके पास सुरक्षा केंद्र से जुड़ा एडमिन का अधिकार होना चाहिए.

  2. डेटा सोर्स के लिए, ऐक्सेस की जांच के लॉग इवेंट को चुनें.
  3. शर्त जोड़ें पर क्लिक करें.
  4. एट्रिब्यूट के लिए, इवेंटइसके बादहै ऑपरेटर के तौर परइसके बादकुकी की पुष्टि करने के अनुरोध को अस्वीकार करना इवेंट के तौर पर चुनें.
  5. खोजें पर क्लिक करें.
  6. नतीजों की टेबल में, इवेंट का स्टेटस कॉलम में अस्वीकार किया गया पर क्लिक करें. इसके अलावा, जानकारी कॉलम में मौजूद लिंक पर क्लिक करके, साइड पैनल खोलें. यहां, पुष्टि नहीं होने की इन वजहों की समीक्षा की जा सकती है:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

लॉग इवेंट को सेशन के हिसाब से ग्रुप में रखा जाता है. हर घंटे में, हर उपयोगकर्ता के लिए सिर्फ़ एक इवेंट रिकॉर्ड किया जाता है . भले ही, उस दौरान ऐक्सेस करने की कई कोशिशें ब्लॉक की गई हों.

तीसरा चरण: यह जांचना कि सेशन में आने वाली रुकावटों की वजह डीबीएससी है या नहीं

उपयोगकर्ताओं को कई वजहों से साइन आउट किया जा सकता है. जैसे, सेशन की अवधि की सीमाएं , एडमिन की तय की गई नीतियां या नेटवर्क की समस्याएं. साइन आउट होने का मतलब हमेशा यह नहीं होता कि डीबीएससी में कोई समस्या है. हालांकि, लॉग के खास क्रम से, डीबीएससी से जुड़ी संभावित गतिविधि या उन इंस्टेंस की पहचान की जा सकती है जहां सिस्टम ने किसी हैक किए गए सेशन को ब्लॉक किया है.

डीबीएससी से जुड़ी गतिविधि की पहचान करने के लिए, इन पॉइंट का इस्तेमाल करें:

  • लॉग के क्रम की समीक्षा करना—अगर आपको डीबीएससी कुंजी की पुष्टि करने का इवेंट में गड़बड़ियां दिखती हैं और इसके बाद कुकी की पुष्टि करने के अनुरोध को अस्वीकार करना दिखता है, तो हो सकता है कि उपयोगकर्ता के साइन आउट होने की वजह डीबीएससी हो.
  • उपयोगकर्ता पर पड़ने वाले असर को समझना—खाते को सुरक्षित रखने के लिए, अगर बाइंडिंग की प्रोसेस में कोई गड़बड़ी आती है, तो उपयोगकर्ता को फिर से साइन इन करना होगा.
  • उपयोगकर्ताओं को डीबीएससी से छूट देना—अगर कोई उपयोगकर्ता बार-बार साइन आउट हो रहा है, तो डीबीएससी से छूट पाने वाला कॉन्फ़िगरेशन ग्रुप बनाया जा सकता है. साथ ही, उस उपयोगकर्ता को उस ग्रुप में जोड़ा जा सकता है. इससे यह आकलन किया जा सकता है कि साइन आउट होने की वजह डीबीएससी है या नहीं.


Google, Google Workspace, और इनसे जुड़े निशान और लोगो, Google LLC के ट्रेडमार्क हैं. अन्य सभी कंपनियों और प्रॉडक्ट के नाम, उन कंपनियों के ट्रेडमार्क हैं जिनसे वे जुड़े हैं.