Google quer acabar com o roubo de cookies de uma vez por todas

Resumo

  • Os cookies de autenticação representam riscos de segurança quando roubados, mas o Google pretende evitar o uso indevido de credenciais de sessão vinculadas ao dispositivo.
  • A nova API do Google vincula cookies aos dispositivos, evitando que hackers façam login em contas em suas próprias máquinas sem usar credenciais de login.
  • A empresa está trabalhando para tornar o recurso de segurança um padrão da web, preservando a privacidade do usuário e a compatibilidade entre dispositivos.



Com a autenticação de dois fatores e as chaves de acesso tornando os logins cada vez mais seguros, os hackers começaram a recorrer à próxima melhor opção para roubar credenciais: cookies de autenticação. Esses valiosos conjuntos de dados permitem que você permaneça conectado em seus dispositivos por semanas e meses sem inserir uma senha, mas eles também podem ser roubados e extraídos, muitas vezes com muita facilidade. O Google anunciou que está trabalhando para mudar isso, detalhando um projeto de código aberto que espera que algum dia se torne um padrão da web.


Por mais convenientes que sejam os cookies, eles trazem consigo alguns riscos de segurança. Depois que os malfeitores os adquirem, implantando malware nas máquinas das vítimas, elas podem armazenar e usar os cookies em seus próprios servidores ou vendê-los a outros malfeitores. Como os cookies de autenticação só são gerados após um login bem-sucedido, não há nenhuma das medidas de segurança usuais incorporadas quando estão disponíveis para visualização pelo provedor de serviços. Atualmente, não existem medidas de segurança fortes o suficiente para impedir que um cookie funcione em uma máquina diferente.

Com a API Device Bound Session Credentials (DBSC) proposta pelo Google, isso deve mudar. A empresa quer construir um padrão web que vincule os cookies de autenticação ao dispositivo em que foram emitidos, criando um handshake exclusivo entre o site e o navegador. Dessa forma, os cookies roubados não poderiam mais ser usados ​​para fazer login em contas em outras máquinas. Isso limitaria os hackers a usarem os cookies roubados no dispositivo da vítima, tornando muito mais fácil para a proteção antivírus tradicional impedi-los de causar estragos.


O Google também deseja preservar a privacidade do usuário ao construir esta nova API. Os sites não poderão usar as chaves exclusivas para saber que os logins ocorreram na mesma máquina. Esses cookies vinculados ao dispositivo também podem ser excluídos como cookies normais diretamente no navegador. O Google afirma que “a única informação enviada ao servidor é a chave pública por sessão que o servidor usa para certificar posteriormente a prova de posse da chave”.


Visão geral de alto nível de como o DBSC estabelece um registro seguro de cookies de autenticação

Fonte: Google

Uma visão geral esquemática de alto nível de como o Google deseja proteger os cookies de autenticação


O problema desta solução é que nem todos os dispositivos e sistemas operacionais estão prontos para ela. O Google espera que apenas cerca de metade das instalações atualmente ativas do Chrome em desktops sejam compatíveis com ele, já que a solução encontrada pela empresa é baseada em “facilidades como Trusted Platform Modules (TPMs) para proteção de chaves, que estão se tornando mais comuns e são necessárias para Windows 11.” O Google também está explorando soluções totalmente baseadas em software para garantir que as pessoas com computadores mais antigos não sejam deixadas para trás. Isso também ajudaria ainda mais a evitar que sites usassem o recurso de segurança para segmentar usuários e restringir o tipo de dispositivo que eles provavelmente usariam.

O Google já começou a testar um protótipo DBSC no Chrome Beta com um número limitado de usuários de Contas do Google. Embora este teste inicial seja desenvolvido especificamente para o Chrome e as Contas do Google, a empresa afirma que está usando o mesmo software subjacente que também disponibilizará para outros fornecedores: “Este protótipo está integrado à forma como o Chrome e as Contas do Google funcionam juntas, mas está validando e informar todos os aspectos da API pública que queremos construir.”


Segundo o Google, algumas empresas manifestaram interesse na ferramenta, sendo Okta e Microsoft Edge citados entre muitos outros. Para garantir que a API atenda às necessidades de todos, o Google diz que está trabalhando com eles para torná-la um verdadeiro padrão da web. O Google espera tornar o DBSC totalmente disponível para testes em todos os tipos de cenários até o final de 2024. Com as chaves de acesso e a autenticação 2FA se tornando mais comuns, faz sentido proteger os cookies que podem oferecer o caminho mais simples para as contas daqui para frente.