谷歌公司日前宣布，在2025年底前，將對(duì)所有谷歌云帳戶將強(qiáng)制進(jìn)行多因素身份驗(yàn)證 （MFA），以增強(qiáng)賬戶安全性。

這一措施將分階段逐步開展，以減小對(duì)企業(yè)和用戶的影響。為確保順利過(guò)渡，谷歌云將在此過(guò)程中提前通知，以幫助規(guī)劃 MFA 部署。這一措施也不會(huì)影響非谷歌云的其他一般消費(fèi)者的谷歌帳戶。

第一階段從本月（11月）開始，通過(guò)谷歌云后臺(tái)界面的提示鼓勵(lì)用戶使用MFA。根據(jù)谷歌的說(shuō)法，這將涉及約30%的用戶；第二階段將于 2025 年初開始，屆時(shí)所有僅使用密碼登錄的現(xiàn)有和新谷歌云用戶都將收到通知，以便在 Google Cloud Console、Firebase Console、gCloud 和其他平臺(tái)上啟用 MFA；最后，到 2025 年底，所有谷歌云用戶和聯(lián)合身份用戶都將強(qiáng)制要求使用MFA。

谷歌表示，對(duì)谷歌云用戶的強(qiáng)制性 MFA 要求是為了提高安全性，并將其視為保護(hù)帳戶免受日益復(fù)雜的威脅的關(guān)鍵步驟，這些威脅可能會(huì)損害敏感數(shù)據(jù)并造成重大損害。

谷歌云工程副總裁 Mayank Upadhyay 表示，過(guò)去 15 年來(lái)，在線賬戶數(shù)量激增，使用單一復(fù)雜密碼和密碼重用已成為安全威脅的來(lái)源，谷歌威脅情報(bào)部門（Google Threat Intelligence）一直認(rèn)為網(wǎng)絡(luò)釣魚和憑證被盜是最主要的攻擊手段，因此保護(hù)身份成為安全團(tuán)隊(duì)的首要任務(wù)。如今有許多 MFA 解決方案可供選擇，企業(yè)很容易找到適合自身需求的解決方案。

這家科技巨頭引用了 CISA 的研究，該研究表明，MFA 使用戶被黑客攻擊的可能性降低了 99%，并指出其自己的數(shù)據(jù)證實(shí)了美國(guó)政府機(jī)構(gòu)的調(diào)查結(jié)果。

但即便如此，MFA 并非萬(wàn)無(wú)一失。 “強(qiáng)制性 MFA 對(duì)于企業(yè)安全是必要的，但還不夠。這是因?yàn)?MFA 不是生而平等的，也沒(méi)有提供相同級(jí)別的安全保證，”Beyond Identity 首席執(zhí)行官 Jasson Casey表示。

MFA 和雙因素身份驗(yàn)證已經(jīng)以某種形式使用了 20 多年，攻擊者有時(shí)間對(duì)其進(jìn)行創(chuàng)新，Mimoto 首席執(zhí)行官兼聯(lián)合創(chuàng)始人 Kris Bondi 在一份電子郵件聲明中表示。威脅行為者越來(lái)越多地發(fā)起可以繞過(guò)傳統(tǒng) MFA 的網(wǎng)絡(luò)釣魚操作，這就是 NIST 和 CISA 敦促采用防網(wǎng)絡(luò)釣魚 MFA 的原因。