Maak Elke Websessie Device-Bound
Een gestolen session token is een werkende login op het apparaat van de aanvaller — geen wachtwoord, geen MFA-prompt. cside houdt elke sessie gekoppeld aan het apparaat dat hem startte en markeert en beëindigt vervolgens elke sessie die ergens anders opduikt. Bekijk waarom 0 van de 43 grote banken de live websessie binden.
Hoe geldige sessies op het verkeerde apparaat belanden
01 Infostealer-logs
Malware op de machine van een slachtoffer schraapt live session-cookies en verkoopt ze in bulk. De koper importeert de cookie en is direct ingelogd — geen wachtwoord, geen MFA.
02 Adversary-in-the-middle phishing
Reverse-proxy phishingkits relayeren de echte loginpagina, vangen het post-MFA session token op en herhalen het. MFA is voldaan bij de login; de live sessie is al gestolen. Bekijk hoe token-diefstal MFA overleeft.
03 Residentiële proxy-replay
Aanvallers routeren de gestolen sessie via een proxy in de eigen stad van het slachtoffer om IP- en geo-controles te omzeilen, zodat de gekaapte sessie lokaal en vertrouwd lijkt.
04 Anti-detect browsers
Speciaal gebouwde browsers spoofen de user agent, lettertypen en apparaatsignalen van het slachtoffer om een gekaapte sessie op te laten gaan in normaal verkeer.
05 On-device malware en RATs
Remote-access-tooling rijdt mee op het eigen apparaat en de sessie van het slachtoffer, zodat controles op netwerkniveau nooit een nieuwe locatie zien.
- Koppel elke sessie aan het apparaat dat hem aanmaakte, vanuit een baseline van 100+ browser-, apparaat- en netwerksignalen.
- Vang een gestolen token op het moment dat hij wordt herhaald vanaf een ander apparaat, IP of browseromgeving.
- Activeer step-up auth of beëindig de sessie voordat de aanvaller account- of betaalgegevens bereikt.
- Werkt in elke browser, van pre-login tot checkout — first-party, ongesampled, zonder extra wrijving voor de gebruiker.
Hoe device-bound sessions werken
Baseline het apparaat bij sessiestart
Wanneer een sessie begint, legt cside 100+ signalen vast in een apparaatprofiel en koppelt dat aan de sessie — de fingerprint die een echte gebruiker reproduceert en een aanvaller niet kan.
Bewaak de sessie, niet alleen de login
Elk verzoek wordt continu getoetst aan de apparaat-baseline van de sessie — niet alleen op het loginmoment waar de meeste tools stoppen met kijken.
Detecteer de apparaatmismatch
Wanneer een token wordt herhaald vanaf een ander apparaat, IP of browseromgeving, komt het profiel niet langer overeen. De verschuiving is zichtbaar zelfs voordat de cookie verloopt.
Schaal op of leg het stil
Voer de mismatch in je auth-flow om herauthenticatie af te dwingen, of maak de sessie meteen ongeldig — voordat de aanvaller gevoelige data aanraakt.
Gebouwd voor sessies die het stelen waard zijn
FinTech & Banking
Gestolen session tokens omzeilen MFA om accounts leeg te halen. Bind de sessie aan het apparaat.
Crypto Platforms
Gekaapte sessies verplaatsen geld onomkeerbaar. Vang de apparaatwissel op vóór de opname.
SaaS & Tech
Eén herhaalde admin-sessie kan een hele tenant blootleggen. Koppel sessies aan bekende apparaten.
Online Gaming
Account takeover via gestolen sessies voedt diefstal van items en saldo.
Waarom cside device-bound sessions beter presteren dan de alternatieven
| vs. MFA & wachtwoorden | vs. Alleen device scoring | vs. DBSC (alleen Chrome) |
|---|---|---|
| Beveiligt de hele sessie, niet alleen het loginmoment | Handelt op een apparaatmismatch — daagt de sessie uit of beëindigt hem, niet alleen een risicoscore | Beschermt elke browser, niet alleen Chrome |
| Vangt een geldig token op dat wordt herhaald vanaf het apparaat van de aanvaller | Hercontroleert het apparaat continu door de hele sessie heen | Dekt ook de reis vóór de login — signup, wachtwoordherstel, checkout |
| Geen afhankelijkheid van de gebruiker die midden in de sessie een tweede factor doorloopt | Ingebouwde reacties: step-up auth of sessie-invalidatie | Eén first-party script, ongesampled — geen nieuwe hardware of browserondersteuning |
Questions, answered
01 Wat betekent een 'device-bound session' eigenlijk?
Het betekent dat een sessie alleen werkt op het apparaat dat hem aanmaakte. cside bouwt een apparaatprofiel wanneer de sessie start en toetst elk verzoek daaraan. Als dezelfde sessie op een ander apparaat opduikt, kan die mismatch een uitdaging of invalidatie activeren — zodat een gestolen cookie op zichzelf niet langer genoeg is om het account over te nemen.
02 Hoe verschilt dit van MFA?
MFA bewijst wie er heeft ingelogd. Het doet niets meer zodra er een session token bestaat, en gestolen tokens worden herhaald nadat MFA al is voldaan. Device-bound sessions beschermen het deel dat MFA openlaat: de live sessie die op de login volgt. Bekijk waarom MFA-voldaan niet hetzelfde is als sessie-veilig.
03 Bindt cside het token cryptografisch zoals DBSC dat doet?
Nee, en de twee lossen het probleem anders op. Google's Device Bound Session Credentials (DBSC) koppelen een cookie cryptografisch aan een hardwaresleutel, maar alleen in Chrome en alleen na de login. cside gebruikt device intelligence om te detecteren wanneer een sessie naar een nieuw apparaat verhuist, in elke browser en bij elke stap van de reis. Ze zijn complementair — bekijk DBSC vs. device fingerprinting.
04 Hoe snel detecteert het een gestolen sessie?
De apparaatcontrole draait op de eigen verzoeken van de sessie, dus een replay vanaf een ander apparaat, IP of browseromgeving kan in realtime worden gemarkeerd — vaak ruim voordat de gestolen cookie zou zijn verlopen.
05 Worden legitieme gebruikers uitgelogd wanneer ze van netwerk of apparaat wisselen?
Nee. cside scoort het volledige apparaatprofiel, niet één enkel signaal, dus een IP-wijziging op hetzelfde apparaat leest heel anders dan een volledige apparaatwissel. Jij bepaalt de drempel en de reactie — uitdagen, opschalen of invalideren.
06 Welke aanvallen stopt dit?
Session hijacking uit infostealer-logs, adversary-in-the-middle phishing, residentiële-proxy-replay en anti-detect browsers — de paden die een geldige sessie op het apparaat van een aanvaller zetten. Voor de bredere dreiging, zie account takeover.
07 Moet ik mijn auth-provider vervangen?
Nee. cside draait naast je bestaande auth- en sessielaag en stuurt het apparaatmismatch-signaal naar je flow, zodat jij beslist of je opschaalt of intrekt. Het is een laag, geen rip-and-replace.
08 Hoe wordt het uitgerold?
Met één first-party script. Signalen worden verzameld op het first-party pad, ongesampled, zonder meetbare latency en zonder de UI te blokkeren.
Didn't find what you were looking for?
Talk to our teamBind every session to its device
One first-party script. Catch a stolen token the moment it lands on the wrong device.