Если вы хоть раз задумывались, насколько легко злоумышленнику войти в ваш аккаунт, не зная пароля — у Google наконец появился нормальный ответ на этот вопрос. В Chrome 146 для всех пользователей Windows стала доступна технология Device Bound Session Credentials, сокращённо DBSC. Звучит технически, но идея за ней на удивление простая и элегантная.
Проблема: куки — слабое звено
Когда вы входите на сайт, браузер получает от сервера специальный файл — cookie. Он хранится на вашем устройстве и при каждом следующем визите доказывает серверу: «да, это я, меня уже проверяли». Пароль при этом не нужен. Именно поэтому куки так ценятся в среде киберпреступников.
Существует целый класс вредоносного ПО, который называется инфостилерами. Их задача — незаметно пробраться на устройство жертвы и утащить всё ценное: сохранённые пароли, данные автозаполнения, токены авторизации и, конечно, куки. После этого злоумышленник буквально открывает чужой браузер, вставляет украденные куки — и он внутри аккаунта. Без пароля, без двухфакторки, без вопросов.
Скомпрометированные данные потом уходят на продажу на теневых площадках. Это целая индустрия, и она работает именно потому, что куки традиционно не привязаны ни к чему конкретному — их можно скопировать и использовать где угодно.
Как это работало в реальных атаках
Чтобы понять масштаб проблемы — несколько показательных примеров.
В 2023 году стало известно об атаке через поддельные письма от имени ChatGPT и других AI-сервисов. Пользователи скачивали «обновление» или «расширение», которое оказывалось инфостилером. Redline Stealer — один из самых популярных на тот момент — массово тащил куки из Chrome и Firefox. Через несколько часов после заражения украденные сессии уже продавались на теневых форумах за несколько долларов за штуку.
Другой громкий случай — атаки на YouTube-блогеров. Мошенники рассылали предложения о партнёрстве, во вложении был якобы медиакит или договор. На деле — инфостилер. После заражения злоумышленники угоняли канал с сотнями тысяч подписчиков буквально за несколько минут: просто вставляли куки авторизованной сессии в свой браузер. Google при этом видела вход с нового устройства, но куки были валидными — подозрений не возникало.
Схожая история произошла с разработчиками нескольких популярных npm-пакетов: через скомпрометированные куки злоумышленники получили доступ к аккаунтам на GitHub и залили вредоносные обновления в библиотеки с миллионами загрузок в неделю.
Всё это стало возможным именно потому, что куки не были привязаны к устройству. DBSC закрывает эту дыру.
Решение: привязать сессию к железу
DBSC меняет фундаментальное правило игры. Браузер больше не просто хранит куки — он криптографически привязывает сессию к конкретному устройству. Украденная кука без нужного устройства превращается в бесполезный набор символов.
На Windows для этого используется TPM — Trusted Platform Module, специальный чип, встроенный в большинство современных компьютеров. На macOS роль TPM выполняет Secure Enclave. При создании новой сессии генерируется пара криптографических ключей. Публичный ключ знает сервер, а закрытый физически остаётся внутри чипа и никуда с устройства не уходит — ни при каких условиях.
Когда сайту нужно выдать короткоживущую куку, Chrome сначала доказывает серверу, что нужный закрытый ключ на месте. Нет ключа — нет авторизации. Даже если атакующий перехватил куку — без правильного железа она мгновенно теряет ценность.
А как насчёт приватности?
Логичный вопрос: если браузер теперь «знает» о вашем железе, не превращается ли это в очередной механизм слежки? Google специально оговорилась на этот счёт. По заявлению компании, DBSC разработана с упором на конфиденциальность: сайт получает только минимально необходимые данные для проверки владения ключом. Никаких постоянных идентификаторов устройства, никаких дополнительных данных аттестации — только факт «да, ключ на месте».
Насколько этому можно доверять — вопрос отдельный, но по крайней мере архитектурно технология задумана именно так.
Что будет, если железо старое?
Не у всех есть современный ноутбук с TPM 2.0. Google предусмотрела и это: если устройство не поддерживает безопасное хранение ключей, Chrome просто не применяет DBSC и работает в обычном режиме. Никаких сломанных авторизаций, никаких внезапных выходов из аккаунтов — всё как раньше.
Что делать прямо сейчас: советы пользователю
DBSC — это хорошо, но она не отменяет базовую цифровую гигиену. Вот что реально снижает риски прямо сегодня, независимо от версии браузера:
Обновите Chrome до 146+. Звучит банально, но многие ходят с браузером двухлетней давности. Проверьте: chrome://settings/help.
Включите двухфакторную аутентификацию везде, где это возможно. Особенно на Google-аккаунте, GitHub, Telegram, соцсетях. Даже если куки украдут — без второго фактора войти в аккаунт будет сложнее. Лучший вариант — аппаратный ключ или приложение-аутентификатор, не SMS.
Не скачивайте ничего из писем и подозрительных ссылок. Большинство инфостилеров попадают на машину именно так — через «договоры», «счета», «обновления ПО» и «медиакиты».
Периодически чистите куки или используйте отдельные профили браузера для разных задач. Рабочий аккаунт — отдельный профиль, личный — отдельный. Меньше куки в одном месте — меньше потери при компрометации.
Проверьте, есть ли в вашем ноутбуке TPM. На Windows 10/11 это можно сделать через диспетчер устройств или командой tpm.msc в Run. Если TPM есть и включён — DBSC будет работать автоматически при следующем обновлении Chrome.
Следите за активными сессиями. У Google, GitHub и большинства крупных сервисов есть раздел «Активные устройства» или «Сессии». Зайдите туда и выкиньте всё лишнее.
Что уже видно на практике
Google утверждает, что с началом внедрения DBSC уже зафиксировала заметное снижение случаев угона сессий. Пока публичный запуск ограничен Chrome 146 на Windows. Поддержка macOS появится в одном из следующих релизов. Про Linux пока ни слова.
Для разработчиков: чтобы DBSC заработала на конкретном сайте, серверная сторона тоже должна поддерживать протокол. Google уже опубликовала документацию — если занимаетесь веб-разработкой, стоит изучить.
Итого
DBSC — не серебряная пуля. Инфостилеры никуда не денутся, и воровать данные они не перестанут. Но конкретная схема «украл куки — зашёл в аккаунт» теперь становится значительно сложнее реализовать. А в комбинации с двухфакторкой и базовой осторожностью — риски снижаются кратно.
Хорошая новость: всё это работает в фоне и не требует от пользователя никаких действий. Просто обновите Chrome — и защита уже включена.