Uma atualização significativa, embora silenciosa, chegou ao Google Chrome e a outros navegadores baseados em Chromium. Trata-se de uma tecnologia chamada “device-bound session credentials” (credeciais de sessão vinculadas ao dispositivo). Embora o nome pareça técnico, o objetivo desta implementação é simples e eficaz: aumentar drasticamente a segurança das suas contas online contra o sequestro de sessão.
O problema: O roubo de cookies e o sequestro de contas
Há alguns anos, tornou-se comum o relato de contas famosas que eram repentinamente invadidas, levando à postagem de conteúdos indevidos ou transmissões ao vivo fraudulentas. Frequentemente, mesmo usuários que possuíam a verificação em duas etapas (2FA) ativa acabavam sendo vítimas.
Isso acontecia porque malwares específicos infectavam o computador da vítima e “roubavam” os cookies de sessão do navegador. Como esses cookies continham a informação de que você já estava autenticado, os invasores podiam simplesmente copiar esses arquivos para seus próprios computadores. O site, ao receber o cookie, entendia que o invasor era você e, dessa forma, bypassava a senha e a verificação em duas etapas, já que o “estado de login” havia sido transferido.
Como funciona a nova proteção
Com as device-bound session credentials, essa vulnerabilidade é combatida de forma inteligente. Agora, os cookies de sessão são criptografados e assinados digitalmente usando uma chave armazenada no chip TPM (Trusted Platform Module) do seu próprio computador. A regra de ouro aqui é: essa chave criptográfica nunca sai do módulo de segurança do seu hardware.
Na prática, quando um site utiliza essa tecnologia, ele cria uma espécie de “acordo” com o seu navegador: “Eu mantenho você logado, desde que você me prove que está no mesmo computador onde a sessão foi iniciada”. Se um hacker roubar seus cookies e tentar usá-los em outra máquina, eles serão inúteis, pois o computador do invasor não possui a chave física necessária para assinar a requisição e validar a sessão.
O que você precisa saber
Para aproveitar essa camada extra de segurança, alguns pontos devem ser considerados:
- Requisito de Hardware: O seu computador precisa de um módulo TPM. Este é um dos requisitos para rodar o Windows 11, portanto, se você usa o sistema operacional mais recente da Microsoft ou um hardware moderno, provavelmente já possui o recurso.
- Implementação pelos Sites: O recurso não é automático para toda a internet; o site precisa dar suporte a ele. O Google, por exemplo, já implementou essa proteção em seus serviços.
- Navegadores: A tecnologia está presente no Google Chrome (a partir da versão 146) e deve funcionar em outros navegadores baseados em Chromium, como Edge, Vivaldi e Brave.
Como verificar se o recurso está funcionando
Você pode testar se um site (como a sua conta Google) está utilizando essa proteção seguindo estes passos:
- Abra o Chrome e acesse o site desejado.
- Pressione F12 para abrir as Ferramentas de Desenvolvedor.
- Vá até a aba Network (Rede).
- Atualize a página.
- Filtre por “app” ou “accounts”. Ao clicar na requisição correspondente, procure por uma seção chamada “device-bound” nos detalhes.
Caso não encontre, pode ser necessário realizar o logout e o login novamente no serviço para que o navegador gere uma nova sessão protegida por essa tecnologia.
Isso é uma solução definitiva?
Embora essa tecnologia encerre o método comum de “roubo de cookies”, não é uma fórmula mágica. Se um malware conseguir infectar seu computador e permanecer ativo, ele ainda pode realizar ações maliciosas enviando comandos diretamente da sua máquina enquanto ela estiver ligada e conectada à internet.
Apesar disso, a implementação é um grande passo à frente. Ela elimina a facilidade com que hackers removiam o acesso do proprietário original e tomavam controle total das contas remotamente. Manter a verificação em duas etapas continua sendo fundamental para garantir que, mesmo em cenários complexos, sua conta permaneça protegida.
Perguntas Frequentes
- O que é o chip TPM mencionado?
É um componente de segurança integrado ao hardware do computador que armazena chaves criptográficas, impedindo que dados sensíveis sejam extraídos. - É possível usar esse recurso no Windows 10?
Sim, desde que o seu computador possua o hardware TPM e você esteja utilizando uma versão atualizada de um navegador compatível. - Preciso configurar algo no meu navegador?
Não. A tecnologia é implementada automaticamente pelos desenvolvedores dos navegadores e pelos serviços web. Basta manter seu navegador atualizado. - Como saber se outros sites estão protegidos?
Atualmente, o suporte depende da implementação de cada site. É esperado que plataformas maiores comecem a adotar esse padrão com mais frequência.
