谷歌强制多因素认证的新政策

关键要点

谷歌于本月早些时候宣布，到2025年底将强制要求所有谷歌云用户启用多因素认证（MFA）
。谷歌表示，70%的用户已经启用了MFA，这一统计数据令人振奋，但这一新规定将把所有谷歌云客户引入一个更安全的网络安全新纪元。

从明年初开始，谷歌将要求所有新用户和使用密码登录的现有云用户启用MFA。随后，将于2025年底之前将这一MFA要求扩展至所有通过联合身份验证进入谷歌云的用户。

作为一个行业，我们应该为谷歌这一举措喝彩——这是一个早该采取的必要措施。毕竟，MFA已成为基础安全功能，对于保护组织与个人用户免受网络钓鱼和凭证攻击的增加至关重要。通过增加一个额外的验证层，MFA在密码被泄露的情况下，显著减少了未经授权访问账户的风险。

我坚信，MFA应该对所有软件和平台提供商强制执行——尤其是电子邮件，仍然是威胁行为者发起高级攻击的主要渠道。

** _**.]

那么，如果MFA是如此关键的安全功能，为什么像谷歌这样的大型供应商直到现在才将其变成强制要求呢？

许多提供商过去一直对强制措施如MFA持谨慎态度，主要是因为启用它的工作量被认为很大。虽然大型企业拥有强大的安全专家团队，可以轻松推出和支持MFA解决方案，但小型企业和普通消费者可能没有同样的技术能力。这种摩擦可能会减慢采纳速度，导致许多提供商将MFA等额外安全步骤完全视为可选。

然而，谷歌的MFA强制政策标志着这种思维的转变。在今天的威胁环境中，攻击日益复杂，我们无法在没有基本保护的情况下运行云应用程序。此刻，MFA已成为基本要求，其他平台提供商如微软对谷歌的做法领悟良多。例如，本周早些时候宣布加大其强制MFA程序的推行力度，其他供应商也将效仿。

我还认为，软件供应商应该免费为客户提供MFA，作为其标准基础功能的一部分。太多公司在启用基础安全功能（如日志记录和单点登录）时收取额外费用，我赞赏谷歌让其身份验证器对客户免费。
从道德上讲，供应商不应对基础安全能力收费，除非这些功能在没有额外订阅费用的情况下真的难以提供——但这种情况很少发生。

虽然扩大MFA的使用无疑会改善许多组织的安全态势，。威胁行为者始终在不断演变其战术，以绕过防御措施，而MFA也不例外。随着MFA解决方案的增加，我们可能会看到攻击者采用更多的MFA绕过技术，例如会话劫持、启动MFA疲劳攻击，以及利用单点登录等方式。

这意味着组织应该实施分层安全策略——这当然包括MFA，同时也应结合提供附加可见性和跨云应用程序生态系统统一控制的产品。

最终，谷歌云的MFA强制实施代表了网络行业的积极发展，它将促使更多组织和用户——希望还有更多提供商——携