Google heeft Device Bound Session Credentials (DBSC) algemeen beschikbaar gesteld voor alle Windows-gebruikers van de Chrome-browser, enkele maanden nadat deze beveiligingsfunctie in open bèta werd getest. De uitrol geldt momenteel voor Chrome 146 op Windows, met een geplande uitbreiding naar macOS in een toekomstige versie.

DBSC is ontwikkeld om sessiediefstal tegen te gaan, een veelvoorkomende bedreiging waarbij aanvallers sessiecookies uit browsers stelen. Dit gebeurt vaak via malware die informatie van het systeem buitmaakt, waaronder cookies die langere geldigheidsduur hebben. Met deze gestolen cookies kunnen aanvallers zonder wachtwoord toegang krijgen tot online accounts van slachtoffers. DBSC koppelt de authenticatiesessie cryptografisch aan een specifiek apparaat, waardoor gestolen cookies waardeloos worden. Dit gebeurt met behulp van hardware-ondersteunde beveiligingsmodules zoals de Trusted Platform Module (TPM) op Windows en de Secure Enclave op macOS, die een uniek sleutelpaar genereren dat niet van het apparaat kan worden geëxporteerd.

Nieuwe sessiecookies worden alleen uitgegeven als Chrome kan aantonen dat het beschikt over de bijbehorende privésleutel. Omdat aanvallers deze sleutel niet kunnen stelen, verlopen gestolen cookies snel en zijn ze nutteloos. Als een apparaat geen beveiligde sleutelopslag ondersteunt, valt DBSC terug op de standaard authenticatie zonder de gebruikerservaring te verstoren. Google meldt dat sinds de introductie van DBSC een significante afname van sessiediefstal is waargenomen. De technologie wordt verder uitgerold naar meer apparaten en krijgt geavanceerdere functies voor betere integratie in zakelijke omgevingen.

Google werkte samen met Microsoft aan de ontwikkeling van DBSC met het doel het als open webstandaard te implementeren. De architectuur is privacygericht en voorkomt dat websites gebruikersactiviteit kunnen koppelen over sessies of sites heen. Daarnaast zorgt het protocol ervoor dat er geen apparaatidentificaties of attestatiegegevens worden gedeeld, behalve de per-sessie publieke sleutel die nodig is voor verificatie. Hierdoor beschermt DBSC sessies zonder cross-site tracking of device fingerprinting mogelijk te maken.