Connect with us

Google Chrome experimenteert met alternatief voor authenticatiecookies – Computer – Nieuws

Nederlands Nieuws

Google Chrome experimenteert met alternatief voor authenticatiecookies – Computer – Nieuws


Google Chrome experimenteert met Device Bound Session Credentials, sessiesleutels die de huidige authenticatiecookies mogelijk kunnen vervangen. De huidige cookies zijn vatbaar voor diefstal door criminelen, wat DBSC moet verhelpen.

DBSC is een authenticatiemethode die werkt met privésleutels en een api voor websites. Als een gebruiker inlogt bij een website, wordt er een privésleutel aangemaakt die wordt opgeslagen op het systeem van de gebruiker. De website controleert periodiek en automatisch of de sleutel overeenkomt met het systeem en het account.

Het verschil tussen DBSC en huidige authenticatiecookies is dat de DBSC-sleutels gekoppeld zijn aan het systeem van een gebruiker. Het stelen van een DBSC-sleutel zou dus niet genoeg moeten zijn. Daarnaast gebruikt de DBSC-sleutel de TPM 2.0-chip van een pc, waardoor malware de sleutels moeilijker kan stelen. TPM 2.0 is verplicht voor Windows 11-pc’s, maar bij eerdere Windows-versies was dit niet het geval. Google zegt op GitHub dat ongeveer zestig procent van de Windows-pc’s over een TPM 2.0-chip beschikt. Het bedrijf overweegt softwarematige alternatieven voor gebruikers zonder TPM 2.0-chip.

Google benadrukt dat de DBSC-sleutels per sessie uniek zijn, en dat sites en adverteerders de DBSC’s niet kunnen gebruiken om individuele systemen te herkennen en tracken. DBSC kan dan ook niet ingezet worden voor advertentiedoeleinden. Gebruikers kunnen de DBSC-sleutels verwijderen in de Chrome-instellingen.

Het bedrijf werkt al langer aan DBSC en zegt op dit moment te experimenteren met een prototype bij Chrome Bèta-gebruikers. Google spreekt over een ‘vroeg initiatief’ om de betrouwbaarheid, haalbaarheid en latency van het protocol te kunnen testen. Op dit moment werkt DBSC alleen nog met het Google Account, later moeten Workspace en Cloud hier ook onder vallen. Andere bedrijven en partijen, waaronder Microsoft met Edge en identiteitsdiensten als Okta, hebben volgens Google interesse getoond in DBSC. Externe websites zouden eind 2024 de eerste tests kunnen uitvoeren.

De huidige authenticatie- of sessiecookies zijn kwetsbaar doordat criminelen ze relatief eenvoudig kunnen stelen. Omdat de cookies aangemaakt zijn nadat de gebruiker is ingelogd, kunnen criminelen 2fa en andere accountbeveiligingen omzeilen. Doordat DBSC gekoppeld is aan het systeem van een gebruiker en de TPM 2.0-chip gebruikt, zou deze authenticatiemethode niet vatbaar zijn voor de kwetsbaarheden in de huidige cookies.



Source link

More in Nederlands Nieuws

To Top