Google將裝置綁定連線階段憑證防護措施提供給所有Chrome用戶

來源: iThome | 日期: 2026-06-02
URL: https://www.ithome.com.tw/news/176274

重點摘要

  • Google 將 DBSC(Device Bound Session Credentials) 全面部署至 Windows 版 Chrome 146 及即將推出的 新版 macOS Chrome
  • 原先 4 月份僅整合於 Windows 版 Chrome 146

什麼是連線階段竊取(Session Theft)?

  • 惡意程式從瀏覽器擷取 session cookies 或攔截登入 token
  • 攻擊者利用長效期 cookies 無需密碼即可存取帳號
  • 竊來憑證可在駭客論壇/黑市出售
  • 代表性惡意程式:LummaC2(以竊取 session 憑證聞名)

DBSC 運作原理

元件說明
硬體安全模組Windows TPM / macOS Secure Enclave
金鑰產生無法從電腦匯出的唯一公/私鑰對
公鑰儲存於服務伺服器,綁定特定裝置
私鑰加密儲存於使用者硬體
驗證機制Chrome 登入時須以私鑰完成裝置驗證

生態系與標準化

  • Google 從一開始即與微軟聯手設計並推動標準化
  • 已有多家 Web 平臺業者參與測試,包括 Okta
  • 持續改善項目:
    • 聯邦式身分(如 SSO)支援
    • 與現有金鑰憑證(mTLS、硬體金鑰)整合
    • 多元硬體平臺支援強化

衍生頁面