Chrome ha appena aggiunto una protezione importante contro uno dei metodi più insidiosi usati dai criminali informatici: il furto della sessione di accesso. Se vuoi una soluzione immediata, aggiorna Chrome all’ultima versione e riavvialo: in molti casi la nuova difesa si attiva automaticamente.
Questa novità non sostituisce la password o l’autenticazione a due fattori, ma rafforza in modo significativo la sicurezza del browser. In pratica, rende molto più difficile per un malintenzionato usare i dati della tua sessione per entrare nei tuoi account da un altro dispositivo.
Cosa cambia per gli utenti
Il nuovo sistema introdotto in Chrome punta a proteggere i cookie di sessione, cioè i piccoli dati che permettono a un sito di ricordare che sei già autenticato. Normalmente, dopo aver inserito password e codice 2FA, il browser conserva una sessione attiva per evitare di chiederti di nuovo le credenziali a ogni pagina o accesso successivo.
Il problema è che, se un criminale riesce a rubare quel cookie, può fingere di essere te e aprire la sessione su un altro dispositivo. In questo scenario, la 2FA viene di fatto aggirata perché l’accesso non avviene con una nuova autenticazione, ma tramite la sessione già autorizzata.
Google ha introdotto una misura chiamata Device Bound Session Credentials per legare la sessione al dispositivo in uso e rendere più difficile copiarla e riutilizzarla altrove. In altre parole, anche se un malware prova a intercettare i dati della sessione, il cookie non dovrebbe essere facilmente sfruttabile su un computer diverso.
Perché questa protezione è utile
Molti utenti pensano che password robuste e 2FA bastino da sole. In realtà, gli attacchi moderni puntano spesso a rubare la sessione già aperta, perché questo evita di dover superare l’autenticazione iniziale.
La nuova funzione di Chrome è importante proprio per questo motivo:
- riduce il rischio che una sessione venga riutilizzata su un altro dispositivo;
- ostacola gli attacchi basati su malware che cercano cookie e token;
- aggiunge un livello di difesa senza chiedere all’utente di cambiare le proprie abitudini;
- rafforza la protezione sia per account personali sia, secondo quanto indicato, per ambienti gestiti come Workspace ed Enterprise.
Come funziona in modo semplice
Quando accedi a un sito, il browser salva un identificatore di sessione. Questo identificatore serve al sito per ricordarti mentre navighi. Con la nuova protezione, Chrome non tratta più quel dato come un semplice file trasferibile, ma lo vincola a elementi di sicurezza del dispositivo.
Su Windows, il meccanismo fa affidamento sul Trusted Platform Module; su Mac, usa la Secure Enclave. Si tratta di componenti hardware progettati per proteggere informazioni sensibili con funzioni di crittografia e isolamento. Il vantaggio è che il dato non è solo “salvato” sul computer, ma è anche protetto da una barriera hardware che rende più complesso l’accesso non autorizzato.
Come verificare se sei protetto
La misura risulta attiva automaticamente nelle versioni supportate di Chrome, quindi il controllo più importante è semplice: aggiorna il browser.
Puoi farlo così:
- apri Chrome;
- fai clic sui tre puntini in alto a destra;
- seleziona Guida;
- entra in Informazioni su Google Chrome;
- lascia che il browser cerchi gli aggiornamenti;
- se compare l’opzione, scegli Relaunch o riavvio per completare l’installazione.
Secondo le indicazioni disponibili, la funzione è presente in Chrome 146 o successivo su Windows e in Chrome 148 o successivo su Mac. Se usi una versione precedente, potresti non beneficiare ancora della protezione.
A chi si applica
La nuova difesa è stata distribuita per utenti Chrome con account personali e anche per chi usa account gestiti in contesti aziendali. In particolare, è indicata come attiva di default per gli utenti Workspace, con gestione centralizzata da parte dell’amministratore.
Per chi usa il browser ogni giorno per banca, email, lavoro o social network, questo aggiornamento è rilevante perché colpisce una delle tecniche più efficaci per prendere il controllo di una sessione già autenticata. Non rende impossibile ogni attacco, ma alza sensibilmente il livello di difficoltà per chi prova a rubare e riutilizzare i dati di accesso.
Cosa dovresti fare adesso
Se vuoi sfruttare subito la nuova protezione, segui questi passaggi:
- aggiorna Chrome all’ultima versione disponibile;
- riavvia il browser dopo l’aggiornamento;
- verifica di usare anche password uniche e 2FA sugli account più importanti;
- controlla che il sistema operativo riceva aggiornamenti regolari;
- evita estensioni o software poco affidabili che possano esporre il browser a rischi inutili.
Questa combinazione resta la strategia più solida: una buona password, l’autenticazione a due fattori e un browser aggiornato con protezioni legate al dispositivo.
Cosa non cambia
È importante non interpretare questa novità come una soluzione totale. La protezione migliora la sicurezza della sessione, ma non elimina tutti i rischi. Restano possibili phishing, furto delle credenziali, dispositivi compromessi e truffe che puntano direttamente all’utente.
Per questo motivo, la nuova funzione va vista come un rinforzo concreto, non come un sostituto delle buone pratiche di base. Se continui a usare password deboli o a cliccare su link sospetti, il browser da solo non può compensare quei comportamenti.
Technical Deep Dive
La funzionalità Device Bound Session Credentials modifica il modello tradizionale dei cookie di sessione, che in genere vengono trattati come token riutilizzabili dal browser fino alla loro scadenza. In uno scenario classico, se un attaccante riesce a esfiltrare un cookie valido, può spesso impersonare l’utente senza dover rifare l’autenticazione iniziale, soprattutto se il sito si affida al cookie come prova sufficiente di una sessione già verificata.
DBSC mira a ridurre questo rischio vincolando la credenziale di sessione al dispositivo che l’ha generata. L’elemento chiave è l’uso di hardware di sicurezza locale: su Windows il TPM e su macOS la Secure Enclave. Questi moduli consentono operazioni crittografiche protette e conservano chiavi in modo che non siano facilmente estraibili dal sistema operativo o da un processo compromesso.
Dal punto di vista architetturale, l’obiettivo non è solo cifrare il cookie, ma impedire che la credenziale sia utile fuori dal contesto hardware che l’ha creata. Questo riduce l’efficacia degli attacchi che puntano alla copia passiva dei dati di sessione, perché il token non è più sufficiente da solo: deve essere accompagnato dal legame con il dispositivo autorizzato.
Per gli ambienti gestiti, l’attivazione automatica e la non disattivabilità da parte degli amministratori indicano che Google intende considerare questa protezione come un baseline di sicurezza, non come una funzione opzionale. In pratica, il browser cerca di trasformare la sessione in un asset più difficile da esportare, aumentando la resilienza contro malware focalizzati sul browser, infostealer e tecniche di session hijacking.
La distribuzione in specifiche versioni suggerisce anche che l’implementazione dipenda da requisiti tecnici del client, del sistema operativo e dell’infrastruttura hardware disponibile. Per questo motivo, mantenere il browser aggiornato resta essenziale: senza una versione compatibile, il meccanismo non può essere attivato correttamente.
Dal punto di vista della difesa in profondità, DBSC è particolarmente efficace quando viene combinato con autenticazione forte, controllo delle estensioni, hardening del sistema operativo e attenzione al phishing. Nessuna singola misura elimina il rischio, ma il legame tra sessione e dispositivo alza in modo concreto il costo operativo per chi tenta di abusare di un accesso già autorizzato.
