Multi-Faktor-Authentifizierung soll für Google-Cloud obligatorisch werden
Um Google-Cloud-Accounts effektiver vor Attacken zu schützen, will das Technologieunternehmen sukzessive MFA einführen.
Wer Googles Cloud Platform (GCP) nutzt, benötigt zur Anmeldung neben seinem Passwort demnächst noch einen Code. Um Accountübernahmen durch Angreifer einzudämmen, will Google das Anmeldeverfahren härten und auf eine obligatorische Multi-Faktor-Authentifizierung (MFA) umstellen. Der Prozess startet ab sofort und soll im Laufe des Jahres 2025 für jeden Cloud-Nutzer verpflichtend sein.
Accounts effektiver schützen
Das geht aus einem aktuellen Blogbeitrag von Google hervor. Ab sofort sollen Hinweise in der Google-Cloud-Konsole auf MFA aufmerksam machen und ausführen, warum die Umstellung für die Sicherheit von Konten wichtig ist.
Hat ein Angreifer derzeit Zugriff auf Log-in-Daten, kann er einen Account vergleichsweise einfach kapern. Ist MFA aktiv, reicht die alleinige Eingabe eines Passworts nicht mehr aus, um auf ein Konto zuzugreifen. Für den Zugriff ist dann zusätzlich ein MFA-Code nötig, den etwa eine Authenticator-App erzeugt. Demzufolge kann ein Angreifer ein Passwort kennen, das Einloggen ist aber ohne den MFA-Code nicht möglich.
Zeitplan
Anfang 2025 will Google mit dem Rollout von MFA für existierende Konten starten. Neue Nutzer können ab dann nur noch Accounts mit MFA erstellen. Bis zum Ende des Jahres 2025 soll das Anmeldeverfahren für alle Cloud-Nutzer verpflichtend sein. Google gibt an, dass sie mit Geschäftskunden und Identitätsprovidern zusammenarbeiten, um die MFA-Umstellung so reibungslos wie möglich zu gestalten. Derzeit sollen bereits rund 70 Prozent der Cloud-Kunden MFA nutzen.
Google empfiehlt allen Kunden, MFA schon jetzt unter security.google.com zu aktivieren. Überdies raten sie aus Sicherheitsgründen dazu, auch für normale Google-Accounts die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren.
Google arbeitet zudem an weiteren Schutzmaßnahmen. So wollen sie den Cookie-Klau sinnlos machen, der es ermöglicht, Log-in-Sessions zu übernehmen. Device Bound Session Credentials (DBSC) sollen das verhindern.
(des)