Google將裝置綁定連線階段憑證防護措施提供給所有Chrome用戶
來源: iThome | 日期: 2026-06-02
URL: https://www.ithome.com.tw/news/176274
重點摘要
- Google 將 DBSC(Device Bound Session Credentials) 全面部署至 Windows 版 Chrome 146 及即將推出的 新版 macOS Chrome
- 原先 4 月份僅整合於 Windows 版 Chrome 146
什麼是連線階段竊取(Session Theft)?
- 惡意程式從瀏覽器擷取 session cookies 或攔截登入 token
- 攻擊者利用長效期 cookies 無需密碼即可存取帳號
- 竊來憑證可在駭客論壇/黑市出售
- 代表性惡意程式:LummaC2(以竊取 session 憑證聞名)
DBSC 運作原理
| 元件 | 說明 |
|---|---|
| 硬體安全模組 | Windows TPM / macOS Secure Enclave |
| 金鑰產生 | 無法從電腦匯出的唯一公/私鑰對 |
| 公鑰 | 儲存於服務伺服器,綁定特定裝置 |
| 私鑰 | 加密儲存於使用者硬體 |
| 驗證機制 | Chrome 登入時須以私鑰完成裝置驗證 |
生態系與標準化
- Google 從一開始即與微軟聯手設計並推動標準化
- 已有多家 Web 平臺業者參與測試,包括 Okta
- 持續改善項目:
- 聯邦式身分(如 SSO)支援
- 與現有金鑰憑證(mTLS、硬體金鑰)整合
- 多元硬體平臺支援強化
衍生頁面
- Google Chrome DBSC裝置綁定連線階段憑證全面開放防禦Session Theft攻擊 — 主要技術概念頁
- google — Google公司