Google Chrome推出设备绑定会话凭据，从根本对抗Cookie窃取攻击

Google在Chrome 146中为Windows用户推出了新的安全功能，将登录Cookie加密绑定到设备硬件，使被窃取的会话令牌对远程攻击者变得毫无用处。该功能名为设备绑定会话凭据（DBSC），直接针对类似入侵Linus Tech Tips等高知名度账户的攻击类型。

核心问题：会话令牌窃取

据Google数据，Cookie窃取恶意软件在过去两年呈"指数级增长"。攻击者诱使受害者下载恶意文件——通常伪装成品牌赞助方案或软件更新——将会话Cookie提取到远程服务器。由于窃取发生在用户完成身份验证之后，窃取的Cookie使攻击者可以完全绕过双因素认证。

DBSC工作原理

• 将Workspace会话Cookie加密绑定到设备硬件
• 被窃取的Cookie在其他机器上无法使用
• 目前在Chrome 146 Windows版以Beta形式推出
• macOS支持即将推出

真实案例

• Linus Tech Tips (2023)：员工下载伪装成赞助方案的PDF后频道被劫持
• Chrome扩展 (2024)：多个扩展被劫持并注入令牌窃取代码
• YouTube创作者 (2026)：YouTube发布新警告，提醒创作者警惕类似钓鱼攻击

行业采用

Okta对这一概念表示兴趣，Microsoft Edge也在探索类似方案。Google建议Workspace管理员同时启用通行密钥（passkey），目前已服务超过1100万客户。

这代表了会话安全的一次根本性转变——从纯软件保护转向硬件绑定认证，即使设备感染恶意软件也能保护账户安全。