Google scheint besorgt darüber zu sein, dass Authentifizierungscookies zu einem leichteren Ziel für Hacker werden. Authentifizierungscookies, die es Benutzern ermöglichen, geräteübergreifend angemeldet zu bleiben, ohne wiederholt Passwörter eingeben zu müssen, sind anfällig für Diebstahl und Missbrauch. Zu diesem Zweck hat Google ein Open-Source-Projekt gestartet, das den Cookie-Diebstahl bekämpfen und die Browsersicherheit für Nutzer erhöhen soll.
Device Bound Session Credentials (DBSC) ist Googles Lösung gegen Cookie-Diebstahl
Wenn Authentifizierungscookies gestohlen werden, können sie die Anmeldung an nicht autorisierten Geräten ermöglichen und sie somit zu einem lukrativen Besitz für Hacker machen. Um dieser Situation entgegenzuwirken, entwickelt Google die Device Bound Session Credentials (DBSC) API, die Authentifizierungscookies über einen gerätebasierten Mechanismus bindet. Dadurch wird eine eindeutige Beziehung zwischen der Website und dem Browser hergestellt und so die Verwendung gestohlener Cookies auf verschiedenen Computern verhindert.
Mit der vorgeschlagenen DBSC-API soll ein Webstandard geschaffen werden, der die Sicherheit erhöht, aber gleichzeitig die Privatsphäre der Benutzer respektiert. Daher können Websites diese Technologien nicht verwenden, um Anmeldungen über mehrere Geräte hinweg zu verfolgen. Google weist außerdem darauf hin, dass nur minimale Informationen wie der öffentliche Schlüssel pro Sitzung, der über das Netzwerk gesendet wird, die Privatsphäre und Sicherheit der Benutzer auf ihrer Seite wahren.
Allerdings kann die Lösung Unannehmlichkeiten hinsichtlich der Geräte- und Betriebssystemkompatibilität mit sich bringen. Die Idee ist, dass etwa die Hälfte der derzeit aktiven Chrome-Installationen auf Desktops die DBSC-API von Google erhalten. Das Unternehmen wird jedoch weiterhin darauf achten, die Kompatibilität auch mit älteren Computern und softwarebasierten Lösungen sicherzustellen.
DBSC befindet sich derzeit in der Betaphase und steht einer begrenzten Anzahl von Benutzern zum Testen zur Verfügung
Ein Prototyp der DBSC-API hat zu Testzwecken von Google eine begrenzte Anzahl von Google-Kontonutzern in Chrome Beta erreicht. Laut Unternehmensquellen haben sowohl Okta als auch Microsoft Edge ihr Interesse an dem Tool bekundet und werden daher bald auch Zugriff darauf haben.
Durch die Zusammenarbeit mit Industriepartnern möchte Google vor Ende des Jahres 2024 eine weltweite Einführung als Webstandard erreichen und so die Kontosicherheit im sich verändernden digitalen Umfeld verbessern. Um Benutzerkonten vor unbefugtem Zugriff zu schützen, müssen sichere Authentifizierungscookies und eine Zwei-Faktor-Authentifizierung häufiger eingesetzt werden.
