谷歌推出新安全功能,打擊 Cookie 和令牌盜竊
谷歌積極採取措施增強數位安全,宣布了三項關鍵改進,旨在幫助企業阻止 Cookie 和身份驗證令牌被盜。據這家科技巨頭稱,這類竊盜行為約佔成功帳戶盜用案例的 37%。
透過電子郵件傳播的資訊竊取程序日益盛行,構成了重大挑戰。網路犯罪分子不斷設計創新策略來捕獲會話數據,從而獲得未經授權的使用者帳戶存取權。這種策略使他們能夠繞過甚至強大的多因素身份驗證系統,從而相對輕鬆地入侵帳戶。
引入密鑰支持
第一項重大改進是為所有 Google Workspace 使用者推出金鑰支援。此功能不僅簡化了使用者體驗,還顯著增強了安全協定。密鑰與單一裝置綁定,使其能夠抵禦網路釣魚攻擊。
密碼支援現已向超過 1, 100 萬個 Google Workspace 客戶全面開放,並具有擴展的管理員功能以審核註冊並將密碼限制為實體安全金鑰。
設備綁定會話憑證 (DBSC)
第二項增強功能是引入了裝置綁定會話憑證 (DBSC),目前處於公開測試階段。此功能即使在使用者登入後也能提供保護。其運作方式如下:登入後,瀏覽器會產生一對唯一的公鑰和私鑰。私鑰會安全地儲存在您的裝置上,理想情況下儲存在硬體安全模組中,而公鑰則會傳送到伺服器。為了維持活動會話,伺服器會定期發出挑戰,只有擁有私鑰的裝置才能正確回應。
這項先進的安全措施意味著,即使攻擊者成功竊取了您的會話 Cookie,由於無法存取私鑰,該 Cookie 也會在其裝置上失效。目前,DBSC 僅在 Windows 使用者的 Chrome 瀏覽器上提供。
透過共享訊號框架增強安全性
展望未來,Google 計劃在今年稍後推出共享訊號框架 (SSF)接收器。這項創新功能將允許不同的安全服務以標準化方式進行通訊。如果身分識別提供者發現您的帳戶有潛在問題,它可以立即通知 Google 終止您的會話,從而最大限度地降低未經授權存取的風險。
鑑於最近發生的多起備受矚目的事件,例如2023年Linus Tech Tips網站遭駭客攻擊,此類安全措施的改進尤其重要。這次資料外洩事件的起因是一名員工無意中開啟了一個偽裝成贊助郵件連結PDF文件的惡意文件,隨後導致該頻道的會話令牌被盜。 DBSC和其他新實施的功能旨在顯著降低未來發生類似憑證盜竊的可能性。
發佈留言