この新しい Chrome セキュリティ機能が公開されるのが待ちきれません

キーと 2 段階認証は優れていますが、誰かがアカウントをハッキング (場合によっては盗み) するのを完全に防ぐことはできません。しかし、Web サイト運営者が Chrome の新機能を使い始めれば、この可能性はさらに難しくなるはずです。

「デバイス関連のアクティベーション認証情報」と呼ばれるこのアップデートは、最近 Chrome の一般リリース バージョンで完全に利用できるようになりました。これは、悪意のある者がインターネット上で長い間悪用してきたセッション ハイジャックと呼ばれる問題の解決に役立ちます。パスキー、強力なパスワード、および 2FA は、ログイン攻撃 (フィッシングやクレデンシャル スタッフィングなど) に対する必要な保護を提供しますが、それらは認証プロセスにのみ適用されます。ログインしてセッションがアクティブになると、これらの形式のセキュリティが完了します。ログイン状態を維持する Cookie をコピーし、それを使用してアカウントに侵入 (場合によっては乗っ取り) するハッカーからは保護されません。

基本的なデフォルトは、任意の場所にアクセス カードを発行することに似ていると考えてください。自分が VIP リストに載っていることを伝え、写真付き身分証明書を提示します。管理者は、あなたがカードを共有することはないと想定しているため、カードにはあなたの写真は掲載されていません。その間、誰かがこっそりやって来て、あなたがカードを持っている間に完璧な写真を撮り、あなたがすでに建物の中にいる間に掃除機でプリントアウトしたものをフラッシュします。彼らはあなたと同じアクセス権を持っていますが、彼らが写真付き身分証明書を更新して突然起動できなくなるまでは、あなたも賢明ではありません。

マティアス・インゲ

このようなハイジャック攻撃を阻止する 1 つの方法は、セッションをデバイスにバインドすることです。つまり、アクティブなセッション用に作成された Cookie は、発行された PC または電話機でのみ機能します。ハッカーは好きなだけ Cookie を盗むことができますが、デバイスの詳細が Cookie とハイジャッカーのマシンで一致しないため、サイトは Cookie をアカウントに侵入させることはできません。しかしこれまで、消費者向けサイトではこのような慣行は一般的ではありませんでした。現在、Google が Chrome で展開しているセッション バインド デバイス認証情報は、個人の Google アカウントと Google Workplace サブスクライバーに対してすぐに機能しますが、標準的な実装方法も提供されています。

Chrome の人気を考えると、Device Bound セッション ファイルとの統合により、開発者がセッション トークンを発行するこの方法を採用および実装するようになる可能性があります。明らかに、ユーザーは、よく知られ信頼できるソフトウェアやプラグインをインストールするなど、オンラインでの良い習慣に従うことで、ハイジャックの被害に遭うリスクを軽減できます。また、クリックする前にリンク アドレスを確認し、ログイン情報を入力する前に再度リンク アドレスを確認することもできます。

しかし最近では、注意するだけでは必ずしも十分ではありません。ハイジャックは実際には、アプリケーションやブラウザーのアドオンとしてインストールされたコンピューター マルウェアなど、さまざまな方法で発生する可能性があります。 Web サイト上の悪意のあるスクリプト。そしてフィッシングサイト。安全性の低い Web サイトに関しては、可能性はさらに広がります。攻撃者は、パブリック ネットワーク上の暗号化されていないトラフィックをスパイしたり、セッション トークンがどのように発行されるかをシステムで理解したりするなどの方法を使用する可能性があります。

そうですね、人気があり、実績があり、信頼されているアプリやブラウザ拡張機能をインストールしても、攻撃の犠牲になる可能性があります。キーがハッキングされたり、悪意のある者に販売されたりするため、正規のソフトウェアが後でマルウェアになる可能性があります。

したがって、ベストプラクティスに従ったとしても、安全性が保証されるわけではありません。そして、日常のユーザーは Web サイトのバックエンドを制御できません。オンデバイス Cookie のような戦略は、ますます混沌とするオンライン世界で必要とされる追加の保護タイプです。開発者がこの標準を迅速に作成することを望みます。