As práticas tradicionais de segurança são excelentes ferramentas para proteger sua vida digital. Se você usar uma senha exclusiva para cada uma de suas contas e configurar a autenticação de dois fatores (2FA) para qualquer uma que a suporte, os hackers terão dificuldade em acessar seus dados. No entanto, mesmo o 2FA não é infalível: os hackers ainda têm ferramentas para contornar suas medidas de segurança e invadir seus espaços online, sem culpa sua.
Felizmente, o Google está lançando uma nova medida de segurança que deve reduzir essas vulnerabilidades. Contanto que você esteja executando a versão mais recente do Chrome, as pessoas que desejam invadir suas contas deverão enfrentar uma batalha ainda mais difícil.
Como os cookies de sessão colocam suas contas em risco
Conforme relatado por Bleeping ComputerO Google lançou oficialmente “Device Bound Session Credentials” (DBSC) para o Chrome esta semana. Para entender o DBSC, entretanto, você precisa entender como cookies de sessão trabalhar. Quando você faz login em um site em seu navegador, esse site emite um ID exclusivo. Este ID é armazenado como um pequeno arquivo no seu dispositivo – este é o cookie de sessão. A ideia é permitir que o site acompanhe você enquanto você o utiliza, inclusive quando você navega em suas diversas páginas da web.
Há vários usos para cookies de sessãoinclusive para carrinhos de compras e sites com múltiplas páginas, mas para efeito desta explicação, o importante a saber é que eles são usados para manter sua sessão de login. O site pode usar o cookie de sessão para “lembrar” que você está logado – como se lhe desse uma pulseira quando você entra em um evento com ingresso. Dessa forma, você não precisa se autenticar novamente toda vez que acessar o site: você pode inserir sua senha, e até mesmo um código 2FA uma vez, e poder retornar ao site sem repetir o processo (pelo menos até que o cookie da sessão expire).
Embora os cookies de sessão devam residir apenas no dispositivo que os criou (e temporariamente), eles são o principal alvo dos hackers. Se alguém conseguir roubar os cookies da sua sessão, poderá falsificar o seu login no dispositivo, mesmo que o site em questão use 2FA para segurança extra. Normalmente, esses sites solicitam seu nome de usuário, senha e um código 2FA antes de permitir o login. Mas se um hacker roubar seu cookie de sessão, ele pode fazer o site pensar que é você no dispositivo em que já se autenticou. Em outras palavras, eles roubaram sua pulseira e a colocaram no próprio pulso. Um segurança não saberá que o roubou; eles apenas verão que o possuem e presumirão que seu tíquete já foi verificado.
O novo recurso de segurança do Google Chrome evita roubo de cookies de sessão
O DBSC funciona garantindo que os cookies de sua sessão sejam armazenados em algum lugar de difícil acesso para hackers. A partir de agora, todos os cookies de sessão gerados no Chrome (e em outros navegadores baseados em Chromium) serão armazenados no Trusted Platform Module do seu PC ou no Secure Enclave do seu Mac. Esses chips são projetados para armazenar dados confidenciais e protegê-los com criptografia. Apenas o chip de segurança possui as chaves para descriptografar as informações ali contidas. Isso significa que mesmo que os hackers infectem com sucesso o seu Mac ou PC com malware, eles terão muita dificuldade em invadir o chip de segurança e roubar os cookies da sua sessão.
O Google está testando a versão beta do DBSC desde abril, depois de anunciá-lo pela primeira vez em 2024. Agora, ele está disponível para praticamente todos os usuários do Chrome, incluindo usuários do Workspace e Enterprise, bem como aqueles com contas pessoais. Embora o anúncio original do Google indique explicitamente que o recurso está disponível no Chrome para Windows, sua página de ajuda do DBSC observa que também está disponível para Mac.
O que você acha até agora?
Como garantir que você está executando o DBSC no Chrome
O Google diz que o DBSC está habilitado por padrão para todos os usuários do Workspace Chrome e que os administradores não podem desligá-lo. A empresa não especifica se isso também se aplica a contas pessoais, embora seja provável que sim. Entrei em contato com o Google para obter esclarecimentos e atualizarei este artigo se receber resposta.
No entanto, o Google não parece estar adicionando retroativamente o DBSC a todas as versões do Chrome. De acordo com a página de ajuda do DBSC, o recurso está disponível no Chrome versão 146 ou posterior no Windows e no Chrome versão 148 ou posterior no Mac. Para ter certeza de que está executando o DBSC, você deseja instalar a versão mais recente do Chrome, apenas por segurança.
Para atualizar, clique nos três pontos no canto superior direito e escolha Ajuda > Sobre o Google Chrome. Permita que o Chrome procure a atualização mais recente e, se estiver disponível, escolha “Reiniciar” para instalá-la.