谷歌公司日前宣布,在2025年底前,将对所有谷歌云帐户将强制进行多因素身份验证 (MFA),以增强账户安全性。
这一措施将分阶段逐步开展,以减小对企业和用户的影响。为确保顺利过渡,谷歌云将在此过程中提前通知,以帮助规划 MFA 部署。这一措施也不会影响非谷歌云的其他一般消费者的谷歌帐户。
第一阶段从本月(11月)开始,通过谷歌云后台界面的提示鼓励用户使用MFA。根据谷歌的说法,这将涉及约30%的用户;第二阶段将于 2025 年初开始,届时所有仅使用密码登录的现有和新谷歌云用户都将收到通知,以便在 Google Cloud Console、Firebase Console、gCloud 和其他平台上启用 MFA;最后,到 2025 年底,所有谷歌云用户和联合身份用户都将强制要求使用MFA。
谷歌表示,对谷歌云用户的强制性 MFA 要求是为了提高安全性,并将其视为保护帐户免受日益复杂的威胁的关键步骤,这些威胁可能会损害敏感数据并造成重大损害。
谷歌云工程副总裁 Mayank Upadhyay 表示,过去 15 年来,在线账户数量激增,使用单一复杂密码和密码重用已成为安全威胁的来源,谷歌威胁情报部门(Google Threat Intelligence)一直认为网络钓鱼和凭证被盗是最主要的攻击手段,因此保护身份成为安全团队的首要任务。如今有许多 MFA 解决方案可供选择,企业很容易找到适合自身需求的解决方案。
这家科技巨头引用了 CISA 的研究,该研究表明,MFA 使用户被黑客攻击的可能性降低了 99%,并指出其自己的数据证实了美国政府机构的调查结果。
但即便如此,MFA 并非万无一失。 “强制性 MFA 对于企业安全是必要的,但还不够。这是因为 MFA 不是生而平等的,也没有提供相同级别的安全保证,”Beyond Identity 首席执行官 Jasson Casey表示。
MFA 和双因素身份验证已经以某种形式使用了 20 多年,攻击者有时间对其进行创新,Mimoto 首席执行官兼联合创始人 Kris Bondi 在一份电子邮件声明中表示。威胁行为者越来越多地发起可以绕过传统 MFA 的网络钓鱼操作,这就是 NIST 和 CISA 敦促采用防网络钓鱼 MFA 的原因。
