A Google bejelentette, hogy a Google Cloud összes ügyfelének többtényezős hitelesítés (MFA) használatát írja elő, kezdve a Google Cloud konzolon ebben a hónapban megjelenő figyelmeztetéseivel, majd 2025 elejétől fokozatosan érvényre juttatja azt.
A vállalat először egy októberben közzétett dokumentumban említette MFA-terveit, Mayank Upadhyay alelnök pedig egy közelmúltbeli blog bejegyzésben megerősítette a döntést. „A Google Cloud kötelező MFA-ját fokozatosan vezetjük be, amely 2025-ben az összes felhasználó számára elérhető lesz világszerte” – írta. A zökkenőmentes átállás biztosítása érdekében a Google Cloud értesítéseket küld a vállalatoknak és a felhasználóknak az MFA bevezetésének tervezésében.
A technológiai óriás a Kiberbiztonsági és Infrastruktúrabiztonsági Ügynökség (CISA) kutatására hivatkozik, amely azt jelzi, hogy az MFA 99%-kal csökkenti a hackelés valószínűségét. A Google azt is kijelenti, hogy saját adatai alátámasztják ezeket a megállapításokat.
Az átállás megkönnyítése érdekében a Google felhasználóbarát MFA-beállításokat vezetett be, mint például a biometrikus adatokra támaszkodó jelkulcsokat, amelyek biztonságosabbá és kényelmesebbé teszik a hitelesítési folyamatot. Ennek a megközelítésnek az a célja, hogy minimálisra csökkentse a felhasználói élmény esetleges zavarait, miközben erősíti a fiók biztonságát.
Ez a bejelentés az adatsértések egyre növekvő hulláma közepette, a jelentések szerint csak 2024-ben több mint egymilliárd rekordot loptak el. Az egyik példa erre a Change Healthcare egészségügyi óriáscég elleni zsarolóprogrammal való februári támadás, amely során több mint 100 millió amerikai egészségügyi adatait lopták el, amik nem álltak az MFA védelme alatt.
Hasonlóan, a Snowflake adatbank szolgáltatással foglalkozó cég is tapasztalt egy incidenst, amikor az ügyfelek adatai – köztük a Ticketmaster adatai – kiszivárogtak. Ez a jogsértés arra késztette a Snowflake-et, hogy az MFA-t bevezesse és elérhetővé tegye rendszergazdái számára, bár ez továbbra is választható az ügyfelek számára. A Google kiberbiztonsági részlege együttműködött a Snowflake-kel a jogsértés kivizsgálásában, végül „az MFA egyetemes érvényesítését és a biztonságos hitelesítést” szorgalmazta.
A változás három szakaszon keresztül fog megtörténni. Ettől a hónaptól kezdődően a konzol képernyőjén megjelenő értesítéssel ösztönzik a felhasználókat, akik nem használnak MFA-t a fiókjukban. Ezt követően 2025 elején minden jelszóval bejelentkező Google Cloud-felhasználónak egy második hitelesítési réteget kell használnia, például hitelesítő alkalmazást vagy fizikai biztonsági kulcsot, hogy hozzáférjen fiókjához. Végül az év végére ez a követelmény az „összevont felhasználókra” is vonatkozni fog, akik harmadik féltől származó hitelesítőket használnak a Google Cloud-forrásokhoz való hozzáféréshez.
A Google lépése összhangban van más nagy felhőszolgáltatók hasonló kezdeményezéseivel. Az AWS júniusban vezette be a kötelező MFA-t, majd augusztusban a Microsoft Azure következett. Az MFA jelenleg a normál Google-fiókokhoz érhető el, de továbbra is választható a személyes célú felhasználók számára, akik tetszés szerint engedélyezhetik vagy letilthatják. A Google jelentése szerint rendszeresen használt fiókjainak körülbelül 70%-a rendelkezik a kétlépcsős azonosítással (2SV).A vállalat azonban úgy véli, hogy a vállalati felhőalapú telepítések megnövekedett kockázatai miatt a kötelező MFA elengedhetetlen a Google Cloud számára.