# Google Chrome Implementa Credenciais de Sessão Vinculadas ao Dispositivo para Mitigar Roubo de Sessão O **Google** lançou oficialmente as **Credenciais de Sessão Vinculadas ao Dispositivo (DBSC)** para todos os usuários do Windows em seu navegador web **Chrome**, após uma fase de testes beta aberta. Este aprimoramento de segurança visa combater a ameaça generalizada de roubo de sessão, com planos de estender o recurso para o macOS em futuras versões.  ## Abordando a Ameaça de Roubo de Sessão O roubo de sessão envolve a extração não autorizada de cookies de sessão do navegador web de um usuário, muitas vezes facilitada por malware ladrão de informações, como Atomic, Lumma e Vidar Stealer. Esses cookies, que podem ter longos períodos de validade, permitem que os atacantes acessem contas online sem a necessidade de senhas. Tokens roubados são frequentemente vendidos a outros cibercriminosos, permitindo atividades maliciosas adicionais. ## Como o DBSC Funciona Anunciado pela primeira vez em abril de 2024, o **DBSC** mitiga esse risco vinculando criptograficamente as sessões de autenticação a um dispositivo específico. Isso é alcançado usando módulos de segurança com suporte de hardware, como o Trusted Platform Module (**TPM**) no Windows e o Secure Enclave no macOS, para gerar um par de chaves pública/privada exclusivo que não pode ser exportado do dispositivo.  O **Google** explica que a emissão de novos cookies de sessão de curta duração depende do **Chrome** provar a posse da chave privada correspondente ao servidor. Como os atacantes não podem roubar essa chave, quaisquer cookies exfiltrados expiram rapidamente e se tornam inúteis. Em casos onde um dispositivo não possui suporte para armazenamento seguro de chaves, o **DBSC** reverte perfeitamente para o comportamento padrão sem interromper o processo de autenticação. ## Sucesso Inicial e Planos Futuros O **Google** relata uma redução significativa no roubo de sessão desde o lançamento inicial do **DBSC**, indicando a eficácia dessa contramedida. A empresa planeja expandir o **DBSC** para uma gama mais ampla de dispositivos e introduzir recursos avançados para melhor integração com ambientes corporativos. ## Design Focado em Privacidade O **Google**, em colaboração com a **Microsoft**, projetou o padrão **DBSC** com a privacidade em mente, visando estabelecê-lo como um padrão web aberto. A arquitetura garante que os sites não possam usar credenciais de sessão para correlacionar a atividade do usuário entre diferentes sessões ou sites no mesmo dispositivo. O protocolo é projetado para ser leve, evitando o vazamento de identificadores de dispositivo ou dados de atestado além da chave pública por sessão necessária para prova de posse. Essa troca mínima de informações garante que o **DBSC** proteja as sessões sem permitir o rastreamento entre sites ou atuar como um mecanismo de impressão digital do dispositivo.