O Google Cloud está definido para tornar a autenticação multifator (MFA) obrigatória para todos os usuários até 2025, uma medida que visa diretamente reforçar a segurança em resposta às crescentes ameaças cibernéticas. A partir deste mês, o Google lançará lembretes e recursos, incentivando os clientes a adotarem o MFA. Este plano de aplicação faseado sublinha uma tendência mais ampla da indústria: quando se trata de segurança, confiar apenas em palavras-passe é coisa do passado.
Por que o Google exige MFA no Google Cloud?
A motivação por trás da pressão do Google pela MFA é clara. As violações cibernéticas estão aumentando e práticas de segurança fracas estão no centro desses ataques. Somente em 2024, mais de 1 bilhão de registros foram roubados em diversas violações. Entre eles, destacam-se os incidentes na Change Healthcare e na Snowflake, onde dados confidenciais foram expostos devido a credenciais comprometidas sem MFA. A decisão do Google sinaliza um reconhecimento de que os riscos de segurança cibernética ultrapassaram as medidas de proteção tradicionais.
Mayank Upadhyay, vice-presidente de engenharia do Google, disposto A posição do Google é clara: “Dada a natureza sensível das implantações em nuvem – e com o phishing e as credenciais roubadas continuando sendo um dos principais vetores de ataque observado por nossa equipe Mandiant Threat Intelligence – acreditamos que é hora de exigir 2SV para todos os usuários do Google Cloud.” Ao aplicar a MFA, a Google está a aumentar os riscos para a segurança das contas, refletindo uma mentalidade de que a resiliência cibernética exige agora mais do que apenas palavras-passe fortes.
Como o Google planeja lançar MFA para usuários da nuvem
O Google não muda da noite para o dia. Em vez disso, está implementando a MFA obrigatória em fases, dando aos usuários e às empresas tempo para se ajustarem. Aqui está o que esperar em cada fase:
- Fase 1 (novembro de 2024) – Incentivo à viabilização da AMF:
O Google começou a incorporar lembretes e orientações ao console do Google Cloud, incentivando os usuários a configurarem voluntariamente o MFA. Estão disponíveis recursos para ajudar as equipes a planejar, conduzir testes e garantir uma implantação tranquila do MFA. Esta fase estabelece a base, conscientizando e facilitando aos clientes o que eventualmente se tornará um requisito.
- Fase 2 (início de 2025) – A MFA torna-se obrigatória para logins baseados em senha:
No início de 2025, o Google começará a exigir MFA para todos os usuários do Google Cloud que fizerem login com uma senha. Este requisito se estende às plataformas do Google como Firebase e gCloud, o que significa que os usuários devem verificar sua identidade com um segundo método de autenticação – seja uma chave de segurança, autenticação baseada em aplicativo ou verificação biométrica.
- Fase 3 (final de 2025) – Estendendo a MFA para usuários federados:
Até o final de 2025, o mandato de MFA do Google alcançará usuários federados – aqueles que fazem login por meio de provedores de identidade terceirizados. Esta fase garante que, independentemente do método de login, as contas do Google Cloud sejam protegidas por uma camada de segurança adicional. Para organizações que usam provedores de identidade, o requisito de MFA do Google adiciona uma camada extra e unificada de defesa em todos os pontos de acesso.
A implementação em fases dá aos usuários a oportunidade de integrar a MFA sem interromper as operações, dando tempo para educar as equipes e garantir a conformidade em seu fluxo de trabalho.
A mudança do Google segue as tendências do setor em segurança
Essa mudança do Google está alinhada com as mudanças recentes de gigantes da nuvem como AWS e Microsoft. A AWS iniciou sua aplicação de MFA em junho de 2024, e o Azure da Microsoft logo seguiu o exemplo. Com o Google Cloud aderindo à tendência, fica claro que a indústria de tecnologia está se unindo em torno do MFA como o novo padrão para segurança na nuvem. Para os usuários do Google Cloud, essa mudança pode parecer atrasada, considerando o extenso histórico da empresa em inovações de segurança.
Embora as Contas do Google para consumidores ofereçam há muito tempo MFA opcional, os riscos são diferentes no mundo empresarial. As contas empresariais geralmente armazenam dados críticos e confidenciais, o que as torna alvos principais de ataques cibernéticos. Em reconhecimento destes riscos elevados, a Google está a traçar um limite, exigindo que os utilizadores empresariais fortaleçam as suas contas. Como Upadhyay observou: “Hoje, há uma ampla adoção da 2SV pelos usuários em todos os serviços do Google”, mas dado o nível de acesso e de dados envolvidos, a aplicação obrigatória era “inevitável”.
MFA: O que está impulsionando a busca por uma autenticação mais forte?
A pressão pela MFA decorre de uma realidade que a maioria das pessoas e empresas já conhece: as senhas não são suficientes. Com os ataques cibernéticos cada vez mais avançados e visando os pontos fracos da infraestrutura digital, a MFA provou ser um dos métodos mais eficazes para impedir o acesso não autorizado.
Estudos sublinham a eficácia do MFA. De acordo com a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), a MFA reduz a probabilidade de comprometimento da conta em 99%. Exige que os usuários confirmem sua identidade com uma segunda forma de verificação – uma etapa extra que muitas vezes impede invasores que já obtiveram uma senha.
As recentes violações de dados serviram como alerta. Por exemplo, Snowflake enfrentou uma violação que vazou dados privados de clientes como Ticketmasterdestacando como a falta de AMF torna vulneráveis até mesmo as grandes organizações. O mandato do Google visa colmatar estas lacunas e estabelecer um precedente a ser seguido por outros.
O que isso significa para os usuários do Google Cloud
Para empresas e indivíduos que dependem do Google Cloud, a MFA obrigatória significa levar a sério os ajustes de segurança. A adoção antecipada é incentivada, especialmente para empresas que gerenciam múltiplas contas de usuários. O Google fornece recursos em seu console do Cloud, orientando os usuários na configuração do MFA, no planejamento da implantação e na educação da equipe.
A boa notícia é que os usuários têm opções. O Google Cloud permite vários métodos de MFA, desde aplicativos autenticadores e códigos SMS até chaves de segurança físicas. Enquanto isso, os usuários federados podem trabalhar com seus provedores de identidade primários para integrar a MFA, permitindo-lhes manter um processo de login simplificado.
O cronograma em fases oferece um certo grau de flexibilidade. As organizações podem aproveitar este tempo para garantir que as políticas de MFA sejam compatíveis e práticas, minimizando interrupções. Os recursos do Google visam facilitar esta transição, mas as organizações devem começar a preparar-se agora para evitar obstáculos de última hora.
Crédito da imagem em destaque: Kerem Gülen/meio da jornada
