Update, 7. November 2024: Diese Geschichte, die ursprünglich am 6. November veröffentlicht wurde, enthält jetzt Kommentare von mehreren Sicherheitsexperten zur obligatorischen Google Cloud 2FA-Entscheidung.
Wenn Sie zu den 30 % der Google Cloud-Nutzer gehören, die sich derzeit mit einem Passwort und nichts anderem als einem Passwort anmelden, wird es bald viel sicherer. Ab sofort „ermutigt“ Google Nutzer mit „nützlichen Erinnerungen“ zu den Vorteilen der Zwei-Faktor-Authentifizierung. Ab Anfang 2025 wird diese Förderung zu einer zwingenden Voraussetzung 2FA nutzen für alle Neu- und Bestandskunden, die sich mit einem Passwort anmelden. Folgendes müssen Sie wissen:
Google will 2025 2FA für Cloud-Nutzer verpflichtend machen
In einer Ankündigung vom 5. November ließ Mayank Upadhyay, Vice President of Engineering bei Google Cloud, eine Sicherheitsbombe platzen: obligatorische 2FA für alle Google Cloud-Nutzer wird im Laufe des Jahres 2025 schrittweise eingeführt, und zwar früher, als Sie sich vorstellen können.
Im Rahmen seines Engagements, Kunden größtmögliche Sicherheit zu bieten, bestätigte Upadhyay, dass Google aus erster Hand gesehen habe, wie 2FA „die Sicherheit stärkt, ohne auf ein reibungsloses und bequemes Online-Erlebnis zu verzichten“. Aus diesem Grund, heißt es weiter in der Ankündigung, werde 2FA bald für alle Google Cloud-Nutzer erforderlich sein, die sich mit einem Passwort anmelden. Während der Übergangszeit, so Upadhyay, werde Google Cloud die Benutzer im Voraus benachrichtigen, damit 2FA-Bereitstellungen ordnungsgemäß geplant werden können.
Ein schrittweiser Ansatz zur obligatorischen Google 2FA – aber die Uhr tickt
Google hat erklärt, dass es bei der obligatorischen 2FA-Anforderung für Google Cloud-Nutzer einen schrittweisen Ansatz verfolgt; Hier erfahren Sie, was das praktisch bedeutet. Die dreistufige Implementierung beginnt sofort mit Phase eins: Google ermutigt Nutzer, 2FA jetzt einzuführen, wenn sie sich derzeit mit einem Passwort anmelden und nicht bereits zu den 70 % der Nutzer gehören, die über ein Passwort verfügen 2FA-Schutz bereitgestellt.
Phase zwei soll „Anfang 2025“ beginnen, obwohl Google noch keinen tatsächlichen Termin für die 2FA-Bereitstellungsmaßnahme bestätigt hat. Wir wissen jedoch, dass alle neuen und bestehenden Google Cloud-Benutzer, die sich mit einem Passwort anmelden, 2FA implementieren müssen. Kein Wenn und Aber; Es ist eine zwingende Voraussetzung für die Zukunft. Benachrichtigungen werden in der Google Cloud Console, der Firebase Console und gCloud angezeigt, wobei Upadhyay warnt, dass Sie sich bei 2FA registrieren müssen, um diese Tools weiterhin nutzen zu können.
Die letzte Phase wird, so wird uns mitgeteilt, bis Ende 2025 stattfinden und die obligatorische 2FA-Anforderung auf diejenigen ausweiten, die derzeit bei der Anmeldung bei Google Cloud die Verbundauthentifizierung verwenden. „Sie haben flexible Möglichkeiten, diese Anforderung zu erfüllen“, bestätigte die Ankündigung. Dies scheint zu bedeuten, dass Sie 2FA beim primären Identitätsanbieter aktivieren können, bevor Sie auf Google Cloud selbst zugreifen, oder über das Google-System mithilfe Ihres Google-Kontos eine zusätzliche 2FA-Sicherheitsebene hinzufügen können.
Warten Sie nicht, aktivieren Sie noch heute 2FA für Ihr Google Cloud-Konto
Die Wahrheit ist, dass 2FA in den meisten Google-Diensten als wesentliche Sicherheitsmaßnahme akzeptiert und übernommen wurde. Dies ist im Hinblick auf einen bekannten Sicherheitsvorteil für Google-Nutzer nichts Neues. Upadhyay sagte jedoch: „Angesichts der Sensibilität von Cloud-Bereitstellungen – und da Phishing und gestohlene Anmeldeinformationen nach wie vor ein Hauptangriffsvektor sind, den unser Mandiant Threat Intelligence-Team beobachtet – glauben wir, dass es an der Zeit ist, 2FA für alle Nutzer von Google Cloud zu fordern.“ Um ehrlich zu sein, fällt es schwer, sich ein vernünftiges Argument gegen diese Meinung vorzustellen. Sie wissen, was zu tun ist, Google-Nutzer: Implementieren Sie 2FA lieber früher als später.
Sicherheitsexperten begrüßen die obligatorische Google Cloud 2FA-Entscheidung vorsichtig
„Die Entscheidung von Google Cloud, die Multi-Faktor-Authentifizierung bis Ende 2025 obligatorisch zu machen, ist ein bedeutender Schritt vorwärts bei der Sicherung des digitalen Ökosystems“, sagte Anna Collard, Evangelistin bei KnowBe4, und fügte hinzu: „Allerdings ist MFA allein kein Problem.“ Die Wunderwaffe: Effektive Sicherheit beruht auf einem mehrschichtigen Verteidigungsansatz, der mehrere Strategien zum Schutz von Vermögenswerten und Daten kombiniert.“
„Leider passen sich die Methoden der Angreifer schnell an die zunehmende MFA-Prävalenz an. Tatsächlich zeigen Sicherheitsverletzungsdaten, dass bei 89 % der kompromittierten Konten MFA aktiviert ist“, warnte Chris Fuller, Senior Director of Technical Field Operations bei Obsidian Security. „Die Zugänglichkeit von Phishing.“ „As-a-Service-Toolkits wie Mamba, das für 250 US-Dollar im Monat gekauft werden kann, sowie Kompromittierungen nichtmenschlicher Identitäten deuten darauf hin, dass Identitätskompromisse trotzdem weitergehen werden.“
„Die stufenweise Einführung von Google erleichtert Benutzern den Einstieg in die neuen Anforderungen, da MFA aufgrund der wahrgenommenen Reibung in der Benutzererfahrung auf Widerstand stoßen kann, insbesondere wenn es abrupt implementiert wird“, sagte Patrick Tiquet, Vizepräsident für Sicherheit und Compliance bei Keeper Security. „Organisationen, die Google Cloud nutzen, müssen jedoch auch die Implementierung innerhalb ihrer Belegschaft planen“, fuhr Tiquet fort. „Mitarbeiterschulungen über die Bedeutung von MFA werden von entscheidender Bedeutung sein und Tools wie ein Passwort-Manager können die Einführung erleichtern, indem sie MFA-Codes sicher speichern und ausfüllen.“ ”