**O Google** afirma que o recurso de segurança Chrome Device Bound Session Credentials (DBSC) agora está em disponibilidade geral e está sendo implementado para todos os usuários para prevenir tomadas de conta de contas. Disponível em beta desde abril, o DBSC foi anunciado pela primeira vez em 2024 como uma forma de vincular criptograficamente cookies de sessão a um dispositivo específico, impedindo que hackers usem tais cookies roubados para contornar autenticação multifator (MFA) e sequestrar contas de usuários. ### Como o DBSC Funciona O DBSC funciona vinculando criptograficamente sessões de usuário ao hardware, como o chip de segurança do computador (por exemplo, o Trusted Platform Module (TPM) no **Windows** e o Secure Enclave no **macOS**). Como as chaves públicas/privadas únicas usadas para criptografar e descriptografar dados sensíveis são geradas pelo chip de segurança, elas não podem ser roubadas, impedindo que atacantes usem cookies de sessão roubados. "O DBSC muda fundamentalmente a capacidade da web de se defender contra essa ameaça, mudando o paradigma da detecção reativa para a prevenção proativa, garantindo que cookies extraídos com sucesso não possam ser usados para acessar as contas dos usuários", disse **o Google** em abril. "O DBSC fortalece a segurança da conta após os usuários fazerem login e ajuda a vincular um cookie de sessão — pequenos arquivos usados por sites para lembrar informações do usuário — ao dispositivo a partir do qual um usuário se autenticou. Mesmo que houvesse malware presente no dispositivo do usuário, o DBSC reduz o risco de roubo de sessão e torna significativamente mais difícil para atores maliciosos explorarem cookies de sessão roubados", acrescentou esta semana.  O recurso está sendo implementado para todos os clientes do **Google Workspace**, assinantes do Workspace Individual e usuários com contas pessoais do **Google**. **O Google** acrescentou que ele será habilitado por padrão para todos os clientes do **Google Workspace** durante a implementação e que os administradores não poderão desativá-lo. ### Abusos Passados e Mitigação No passado, atores de ameaças abusaram do endpoint não documentado da API **Google** OAuth "MultiLogin" para gerar novos cookies de autenticação após o vencimento dos roubados. As operações de malware de roubo de informações **Lumma** e **Rhadamanthys** também afirmaram que poderiam restaurar cookies de autenticação **Google** expirados roubados em ataques para obter acesso às contas **Google** de usuários infectados. Na época, **o Google** aconselhou os clientes a removerem malware de seus dispositivos e recomendou a ativação do modo de segurança Enhanced Safe Browsing do **Chrome** para se defender contra ataques de phishing e malware. No entanto, o novo recurso de segurança Chrome Device Bound Session Credentials (DBSC) deve bloquear efetivamente atores maliciosos de abusar de tais cookies roubados, pois eles não terão acesso às chaves criptográficas necessárias para usá-los.