Auf den Punkt: Google bindet Session-Cookies kryptografisch an den Sicherheitschip des Geräts, wodurch gestohlene Cookies auf anderen Computern wertlos werden und Infostealer-Malware blockiert wird.
Google rollte am 25. Mai 2026 die Funktion Device Bound Session Credentials (DBSC) global für Chrome aus, die Sitzungs-Cookies kryptografisch an den Sicherheitschip von Computern bindet und damit Cookie-basierte Kontenübernahmen blockiert.
Die Device Bound Session Credentials binden Authentifizierungs-Cookies an die Hardware des Geräts: Der Chrome-Browser generiert bei der Anmeldung bei kompatiblen Webdiensten kein einfaches Session-Cookie mehr, sondern erzeugt über ein spezielles HTTP-Protokoll ein asymmetrisches Schlüsselpaar. Auf Windows-Systemen wird dieses Schlüsselpaar im Trusted Platform Module (TPM) generiert und gespeichert, auf macOS in der Secure Enclave. Der private Schlüssel verlässt das Hardware-Modul niemals und kann daher auch bei vollständiger Betriebssystem-Kompromittierung nicht extrahiert werden.
Der Webserver fordert den Browser regelmäßig auf, den Besitz des privaten Schlüssels kryptografisch nachzuweisen, bevor neue kurzlebige Session-Cookies ausgestellt werden. Wird ein Cookie auf ein fremdes Gerät kopiert, kann es diesen Nachweis nicht erbringen – der Zugriff wird verweigert und die Sitzung ungültig. Dies blockiert auch die Praxis krimineller Netzwerke, gestohlene Authentifizierungs-Cookies über den Google-OAuth-MultiLogin-Endpunkt zu erneuern.
Das Rollout begann am 25. Mai 2026 und soll innerhalb von maximal 60 Tagen abgeschlossen sein. Die Technologie richtet sich gegen spezialisierte Infostealer-Malware wie LummaC2 und Rhadamanthys, die Browser-Cookie-Datenbanken systematisch auslesen und die gestohlenen Daten auf eigenen Systemen einspielen, um unautorisierten Kontozugriff zu erlangen – ohne Passwörter oder Zwei-Faktor-Codes eingeben zu müssen. Mit DBSC verfallen gestohlene Cookies auf fremden Geräten innert kürzester Zeit zu Unbrauchbarkeit.
Für Google-Workspace-Kunden, Workspace-Individual-Abonnenten und Inhaber privater Google-Konten wird DBSC schrittweise aktiviert. Das Konzept entstand 2024, Beta-Tests liefen seit Frühjahr 2026 unter Windows.
Quelle: www.it-daily.net · Erschienen 1. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.8.