谷歌公司日前宣布，在2025年底前，將對所有谷歌云帳戶將強制進行多因素身份驗證 （MFA），以增強賬戶安全性。

這一措施將分階段逐步開展，以減小對企業(yè)和用戶的影響。為確保順利過渡，谷歌云將在此過程中提前通知，以幫助規(guī)劃 MFA 部署。這一措施也不會影響非谷歌云的其他一般消費者的谷歌帳戶。

第一階段從本月（11月）開始，通過谷歌云后臺界面的提示鼓勵用戶使用MFA。根據(jù)谷歌的說法，這將涉及約30%的用戶；第二階段將于 2025 年初開始，屆時所有僅使用密碼登錄的現(xiàn)有和新谷歌云用戶都將收到通知，以便在 Google Cloud Console、Firebase Console、gCloud 和其他平臺上啟用 MFA；最后，到 2025 年底，所有谷歌云用戶和聯(lián)合身份用戶都將強制要求使用MFA。

谷歌表示，對谷歌云用戶的強制性 MFA 要求是為了提高安全性，并將其視為保護帳戶免受日益復(fù)雜的威脅的關(guān)鍵步驟，這些威脅可能會損害敏感數(shù)據(jù)并造成重大損害。

谷歌云工程副總裁 Mayank Upadhyay 表示，過去 15 年來，在線賬戶數(shù)量激增，使用單一復(fù)雜密碼和密碼重用已成為安全威脅的來源，谷歌威脅情報部門（Google Threat Intelligence）一直認(rèn)為網(wǎng)絡(luò)釣魚和憑證被盜是最主要的攻擊手段，因此保護身份成為安全團隊的首要任務(wù)。如今有許多 MFA 解決方案可供選擇，企業(yè)很容易找到適合自身需求的解決方案。

這家科技巨頭引用了 CISA 的研究，該研究表明，MFA 使用戶被黑客攻擊的可能性降低了 99%，并指出其自己的數(shù)據(jù)證實了美國政府機構(gòu)的調(diào)查結(jié)果。

但即便如此，MFA 并非萬無一失。 “強制性 MFA 對于企業(yè)安全是必要的，但還不夠。這是因為 MFA 不是生而平等的，也沒有提供相同級別的安全保證，”Beyond Identity 首席執(zhí)行官 Jasson Casey表示。

MFA 和雙因素身份驗證已經(jīng)以某種形式使用了 20 多年，攻擊者有時間對其進行創(chuàng)新，Mimoto 首席執(zhí)行官兼聯(lián)合創(chuàng)始人 Kris Bondi 在一份電子郵件聲明中表示。威脅行為者越來越多地發(fā)起可以繞過傳統(tǒng) MFA 的網(wǎng)絡(luò)釣魚操作，這就是 NIST 和 CISA 敦促采用防網(wǎng)絡(luò)釣魚 MFA 的原因。