Bank-logins zijn gehard. Banksessies nog niet.
Banken behoren tot de meest door phishing belaagde en beveiligingsvolwassen consumentenplatforms op het web. We testten de 43 meest beveiligingsvolwassen consumentenbanken in de VS, het VK, de eurozone, Canada, Australië en de Scandinavische landen. Geen enkele bindt de live browsersessie cryptografisch aan het apparaat dat haar heeft aangemaakt.
Deze banken zetten al zware device-intelligence in: gedragsbiometrie, botbestrijding, device-profiling, app-attestatie op mobiel. Maar een apparaat scoren is niet hetzelfde als de sessie binden. De cookie na het inloggen blijft een bearer-token: wie hem heeft, wordt als de gebruiker behandeld. Een sessie die is gestolen via phishing, een infostealer of een adversary-in-the-middle-kit werkt op het apparaat van de aanvaller zonder ooit het inloggen te hoeven omzeilen.
In deze whitepaper:
Resultaten van onze test van de 43 meest beveiligingsvolwassen consumentenbanken: 0/43 binden de websessie cryptografisch (de strikte DBSC-achtige laag).
Waarom authenticatie geen sessie-integriteit is, en hoe moderne accountovername het inlogmoment volledig omzeilt.
De drie betekenissen van "apparaatgebonden" en de categoriefout waardoor "fingerprinting bestaat" doorgaat voor "de sessie is gebonden."
Vijf manieren waarop een geldige sessie op het verkeerde apparaat belandt: infostealer-logs, adversary-in-the-middle-phishing, replay via residentiële proxy, anti-detectiebrowsers en malware op het apparaat.
Waar Device Bound Session Credentials (DBSC) passen, de adoptietijdlijn en wat de kloof betekent voor banken en de Fortune 1000.
Ontvang de whitepaper
Vul het formulier in om het volledige rapport over apparaatgebonden websessies te ontvangen.
Functionele cookies vereist
Dit formulier heeft functionele cookies nodig om te laden. Pas je cookievoorkeuren aan om door te gaan.
Open het formulier in een nieuw tabbladHet formulier is niet geladen
Je browser blokkeert mogelijk het ingesloten formulier. Probeer de pagina te vernieuwen.
Open het formulier in een nieuw tabbladIn één simpele vraag
Is het auth-token van elke gebruiker aan het apparaat gebonden, of kan het naar een andere browser verhuizen?
Een auth-token is de sleutel die de browser in een cookie of local storage opslaat zodra een gebruiker het wachtwoord en 2FA heeft doorlopen. Het is een bearer-token: wie hem heeft, wordt als die gebruiker behandeld, op elk apparaat. Kopieer hem naar een andere browser en die browser is diegene. Bij de 43 banken die we testten, houdt niets in de websessie dat tegen.
De kern van het probleem
Banken scoren het webapparaat. Doorgaans binden ze de live websessie niet cryptografisch. Het inlogmoment is gehard; de sessie die volgt niet.
De banken-steekproef, in vier cijfers
Zelfs de sterkste groep laat de browsersessie een bearer-cookie blijven.
Wat banken al goed doen
Inloggen & transactie
VolwassenGedragsbiometrie, botbestrijding, device-profiling, step-up-authenticatie en passkeys in sommige markten.
Mobiel kanaal
Gebonden~98% bindt de app-credential aan Secure Enclave / Keystore, vaak met app-attestatie erbovenop.
Browsersessie
Open kloofDe webcookie na het inloggen blijft een bearer-token, geaccepteerd zonder bewijs van het oorspronkelijke apparaat.
De scheiding van kanalen is de kern. "Banken binden apparaten" kan tegelijkertijd waar zijn voor mobiel en onwaar voor browsersessies.
Vijf manieren waarop een geldige sessie op het verkeerde apparaat belandt
Infostealer-logs
Malware oogst browsercookies van het apparaat van het slachtoffer.
Adversary-in-the-middle-phishing
De kit fungeert als proxy voor MFA-/passkey-flows en steelt de resulterende sessie.
Replay via residentiële proxy
De cookie wordt aangeboden vanaf een geloofwaardige netwerklocatie.
Anti-detectiebrowsers
Fingerprints worden afgestemd om een duidelijke mismatch te vermijden.
RAT / malware op het apparaat
De aanvaller opereert vanaf het legitieme apparaat.
De economie van aanvallers is verschoven naar gestolen en doorgespeelde cookies. De verdediging is niet meegeschoven.
Krijg cross-browser DBSC met cside
DBSC bindt de browsersessie aan het apparaat, maar vandaag alleen in Chrome. cside breidt apparaatgebonden sessiebescherming uit naar elke browser als first-party JavaScript: detecteer replay van gestolen cookies, lever bewijs van de echte sessie en stop accountovername die het inloggen overleeft. Zonder wijzigingen aan DNS of het verkeerspad.