2025 年,全球所有Google Cloud用户都需要实施多因素身份验证(MFA),而目前大约 30% 的 Google 用户仍未实施 MFA。
2025 年初,谷歌将强制所有使用密码登录其帐户的用户进行 MFA。
到 2025 年底,强制性MFA 安全将扩展到所有通过身份提供商将身份验证联合到 Google Cloud 的用户。
MFA 授权包括Google 云平台(GCP)、Android 和Google Workspace的用户——其中包括 Google 的 Gmail、Meet、Drive、日历等协作套件。
MFA 使用户被黑客攻击的可能性降低了 99%,这是“进行转换的有力理由”,Google Cloud 工程副总裁 Mayank Upadhyay 在最近的一篇博客文章中表示。
Upadhyay 表示:“作为向全球数百万 Google 用户提供多因素身份验证的先驱,我们亲眼目睹了它如何在不牺牲流畅便捷的在线体验的情况下增强安全性。Google Cloud 将在此过程中向企业和用户提供提前通知,以帮助规划 MFA 部署。”
该公司表示,截至 2024 年底,大约 70% 的谷歌用户目前正在使用 MFA。
Google Cloud 的 MFA 授权分为两个阶段
总部位于加州山景城的谷歌表示,其将分两个阶段推出强制性 MFA。
其中一个阶段将于 2025 年初开始,密码登录需要 MFA。
“明年初,我们将开始要求所有使用密码登录的 Google Cloud 新老用户使用 MFA。您将在 Google Cloud Console、Firebase Console、gCloud 和其他平台上看到通知和指南。要继续使用这些工具,您需要注册 MFA,”Upadhyay 说道。
下一阶段将于 2025 年底实施,届时将身份验证联合到 Google Cloud 的用户需要使用 MFA。
“您可以在访问 Google Cloud 之前通过主要身份提供商启用 MFA——我们将与身份提供商密切合作,以确保制定标准以实现顺利交接,”Upadhyay 表示。“或者,如果您更喜欢使用我们的系统,您可以通过 Google 帐户添加额外的 MFA 层。”
为什么需要 MFA;AWS 和微软也采取类似举措
针对 Ticketmaster 和 Santander Bank 的大规模网络攻击引发了人们对云计算公司的MFA 政策的审查。
启用 MFA 极大地提高了客户的账户安全性,MFA 是美国网络安全和基础设施安全局 (CISA) 安全设计计划中的主要建议之一。
微软和亚马逊网络服务都在今年早些时候启动了 MFA 授权。
例如,微软从 10 月份开始要求所有 Azure 登录都使用 MFA。
谷歌的 Upadhyay 表示:“考虑到云部署的敏感性,以及网络钓鱼和被盗凭证仍然是我们的 Mandiant 威胁情报团队观察到的主要攻击媒介,我们认为现在是时候要求所有 Google Cloud 用户进行 2SV [两步验证] 了。”