谷歌公司日前发表,在2025年底前,将对一切谷歌云帐户将强迫启动多要素身份验证 (MFA),以增强账户安保性。
这一措施将分阶段逐渐展开,以减小对企业和用户的影响。为确保顺利过渡,谷歌云将在此环节中提早通知,以协助布局 MFA 部署。这一措施也不会影响非谷歌云的其余普通生产者的谷歌帐户。
第一阶段从本月(11月)开局,经过谷歌云后盾界面的揭示激励用户经常使用MFA。依据谷歌的说法,这将触及约30%的用户;第二阶段将于 2025 年终开局,届时一切仅经常使用明码登录的现有和新谷歌云用户都将收到通知,以便在 Google Cloud Console、Firebase Console、gCloud 和其余平台上启用 MFA;最后,到 2025 年底,一切谷歌云用户和联结身份用户都将强迫要求经常使用MFA。
谷歌示意,对谷歌云用户的强迫性 MFA 要求是为了提高安保性,并将其视为包全帐户免受日益复杂的要挟的关键步骤,这些要挟或者会侵害敏感数据并形成严重侵害。
谷歌云工程副总裁 Mayank Upadhyay 示意,过去 15 年来,在线账户数量激增,经常使用繁多复杂明码和明码重用已成为安保要挟的起源,谷歌要挟情报部门(Google Threat Intelligence)不时以为网络钓鱼和凭证被盗是最关键的攻打手腕,因此包全身份成为安保团队的首要义务。如今有许多 MFA 处置方案可供选用,企业很容易找到适宜自身需求的处置方案。
这家科技巨头援用了 CISA 的钻研,该钻研标明,MFA 经常使用户被黑客攻打的或者性降落了 99%,并指出其自己的数据证明了美国政府机构的考查结果。
但即使如此,MFA 并非十拿九稳。 “强迫性 MFA 关于企业安保是必要的,但还不够。这是由于 MFA 不是生而对等的,也没有提供相反级别的安保保障,”Beyond Identity 首席口头官 Jasson Casey示意。
MFA 和双要素身份验证曾经以某种方式经常使用了 20 多年,攻打者有期间对其启动翻新,Mimoto 首席口头官兼联结开创人 Kris Bondi 在一份电子邮件申明中示意。要挟行为者越来越多地动员可以绕过传统 MFA 的网络钓鱼操作,这就是 NIST 和 CISA 督促驳回防网络钓鱼 MFA 的要素。