Device Bound Session Credentials arriva su Chrome per rendere più difficile il furto dei cookie di sessione. La novità conta perché colpisce uno dei punti più delicati della sicurezza online: non la password, ma ciò che resta valido dopo il login.
Google ha indicato la disponibilità pubblica su Chrome 146 per Windows, con estensione a macOS in una release successiva. Per gli utenti Google Workspace la funzione è attiva di default, senza interruttori manuali per amministratori o utenti finali.
Cosa sono i Device Bound Session Credentials di Chrome
I Device Bound Session Credentials legano la sessione di accesso al dispositivo usato per autenticarsi. In pratica, se un malware copia i cookie dal browser, quei dati diventano molto meno utili su un altro computer perché Chrome deve dimostrare di possedere una chiave privata salvata in hardware.
Il problema nasce dai cookie di sessione. Quando accedi a un sito, il browser conserva un identificatore che evita di richiederti password e codice 2FA a ogni pagina. È comodo, ma se un infostealer lo ruba può provare a impersonarti senza conoscere la tua password.
La documentazione ufficiale di Chrome for Developers sui Device Bound Session Credentials spiega che il sistema usa coppie di chiavi crittografiche e cookie a vita breve. È una protezione aggiuntiva, non un sostituto di password forti, passkey e autenticazione a due fattori.
Come Chrome blocca il furto dei cookie di sessione
Il cuore tecnico è la chiave privata non esportabile. Su Windows entra in gioco il Trusted Platform Module, mentre su macOS Google cita il Secure Enclave. Il sito riceve una prova crittografica che la sessione è ancora sul dispositivo originale, non una semplice copia del cookie.
Google descrive nel blog ufficiale sulla protezione dei cookie con DBSC un passaggio importante: dal controllo reattivo dei furti alla prevenzione. Se il cookie viene sottratto, scade rapidamente o non può essere rinnovato senza la chiave custodita nel dispositivo.
Per il lettore cambia una cosa concreta: un attacco che aggira la 2FA rubando la sessione diventa più difficile. Non sparisce il rischio di malware, phishing o estensioni malevole, ma il valore del cookie rubato diminuisce. È lo stesso filone di attenzione alla privacy che si vede anche nelle novità di Google Chrome su Android con posizione approssimativa.
- Aggiorna Chrome da menu, Guida, Informazioni su Google Chrome
- Mantieni attiva la 2FA sugli account importanti
- Evita estensioni non necessarie o scaricate da fonti poco chiare
- Usa passkey dove disponibili per ridurre la dipendenza dalle password
Perché questa protezione pesa anche fuori da Google
DBSC non serve solo a Google. Il progetto è pensato come standard web aperto e può essere adottato dai siti che gestiscono login sensibili. Per banche, servizi cloud, piattaforme aziendali e strumenti di produttività, proteggere la sessione dopo il login è ormai importante quanto proteggere la fase di accesso.
C’è però un limite pratico: i siti devono implementare endpoint di registrazione e rinnovo della sessione. Chrome può fare la parte del browser, ma il server deve supportare il flusso. Per questo la diffusione reale dipenderà anche da sviluppatori, aziende e provider di identità.
La mossa rientra in una strategia più ampia di Google, dove browser, account, AI e servizi cloud diventano pezzi dello stesso sistema. Lo si è visto anche con Google I/O 2026 tra Gemini e Android XR, segnale di un ecosistema sempre più integrato.
Il punto aperto ora è l’adozione. Se DBSC resterà confinato a pochi servizi, sarà una buona protezione per una parte degli utenti. Se invece diventerà pratica comune sul web, il furto dei cookie di sessione potrebbe perdere una quota importante del suo valore economico per i gruppi criminali.
