Ob Multi-Faktor-Authentifizierung oder Passkeys: In den vergangenen Jahren hat sich viel zur besseren Absicherung von Onlinekonten getan. Das führt wiederum dazu, dass Angreifer immer neue Wege suchen. Einem davon will Google nun ein Ende bereiten.

Bindung

Über ein sperrig "Device Bound Session Credentials" genanntes Feature sollen zur Authentifizierung genutzte Cookies kryptografisch an ein einzelnes Gerät gebunden werden. Damit lassen sich diese dann nicht mehr auf einem anderen Rechner zum Zugriff auf das jeweilige Konto verwenden.

Chrome
Chrome soll sicherer werden.
Proschofsky / STANDARD

Das dahinterstehende Probleme: Wer in einen Rechner einbricht und dort die Authentifizierungs-Cookies erbeutet, kann diese auch nutzen, um sich damit in die jeweiligen Onlinekonten einzuloggen. Ein Multi-Faktor-Authentifizierungsschutz greift da schlicht nicht mehr, da der nur beim frischen Einloggen abgefragt wird.

Neue Hürden

Google setzt große Erwartungen in diese Änderung. So geht man davon aus, dass dies die Effektivität von auf Cookie-Diebstahl spezialisierter Malware massiv reduziert. Musste diese bisher nur diese kleinen Dateien kopieren, um dann in Ruhe woanders einen Account auszuspionieren, müsste die Spionage künftig schon direkt auf dem Originalrechner stattfinden. Damit sei aber auch die Chance viel höher, dass die Schadsoftware entdeckt wird.

Bislang ist dieses Feature noch nicht von Haus aus aktiviert. Wer es testen will, muss dabei unter den experimentellen Features in chrome://flags die Funktion "Device Bound Session Credentials" aktivieren. Voraussetzung ist dafür allerdings auch noch die richtige Software-Hardware-Kombination, da Google die Verschlüsselung mithilfe des Trusted Platform Module (TPM) durchführt. Für die Zukunft wird aber auch eine reine Softwarelösung angedacht. (apo, 3.4.2024)