Google obriga utilizadores empresariais da Cloud a usar autenticação multifator

14 nov 2024 07:23

A mudança começa este mês, com pequenos avisos e lembretes. A partir do próximo ano a autenticação sem multifator deixa gradualmente de ser facultativo para empresas e respetivos utilizadores.

A Google confirmou os planos que vão obrigar os clientes profissionais da Google Cloud a utilizar autenticação multifator (multi-factor authentication - MFA). Para já serão feitos pequenos avisos e enviados lembretes aos clientes, mas, a partir do ano de 2025, o processo será imposto gradualmente, anunciou o vice-presidente de engenharia, Mayank Upadhyay numa publicação do blog da Google, na qual detalha o funcionamento da nova obrigatoriedade. Os planos para adoção do MFA já tinham sido avançados discretamente num documento publicado em outubro.

“Vamos implementar a MFA obrigatória para o Google Cloud faseadamente e chegará a todos os utilizadores em todo o mundo durante 2025”, descreve Mayank Upadhyay. “Para garantir uma transição suave, a partir de novembro, a Google vai encorajar a adoção da MFA”, através de lembretes e informação na consola da Google Cloud, incluindo recursos para sensibilizar os utilizadores, planear o lançamento e fazer testes. A partir do início de 2025, a MFA será pedida após os logins com palavras-passe. “Haverá notificações e orientações na consola Google Cloud, na consola Firebase, no gCloud e noutras plataformas” e será obrigatória.

Na última fase, no final de 2025, o foco serão os utilizadores federados, aqueles que acedem aos recursos do Google Cloud mediante um autenticador de terceiros, que terão de passar a utilizar a MFA. Poderá ser por meio de um fornecedor primário, antes de aceder à Google Cloud, ou utilizando o o próprio sistema MFA da Google.

Veja na galeria mais detalhes sobre os planos e a MFA da Google Cloud:

A Google avisa que, embora os consumidores finais também possam beneficiar da autenticação multifator nas contas Google “normais”, a mesma continuará a ser opcional. Os utilizadores podem ativar e desativar a funcionalidade quando quiserem.

A empresa diz que, embora 70% das contas Google tenham ativada a chamada verificação em dois passos (2SV), o nome dado pela Google e que tem ganhado popularidade no mercado, esta só será obrigatória para os clientes empresariais. A 2SV foi lançada em 2011 e, “dada a natureza sensível das implementações na nuvem — e com o phishing e as credenciais roubadas a continuarem a ser um dos principais vetores de ataque observados pela nossa equipa de Threat Intelligence da Mandiant — acreditamos que está na altura de exigir a 2SV a todos os utilizadores do Google Cloud”.

O autor do post acrescenta que esta mudança é suportada por fortes evidências, “tanto da nossa própria experiência como das agências governamentais dos EUA”. A Cybersecurity and Infrastructure Security Agency (CISA) concluiu que a autenticação multifator torna os utilizadores 99% menos propensos a serem pirateados, o que constitui uma forte razão para fazer a mudança.

Também a AWS já começou a implementar a autenticação obrigatória multifator em junho, enquanto a Microsoft adotou medidas semelhantes em agosto.