谷歌公司日前宣布，在2025年底前，將對所有谷歌云帳戶將強制進行多因素身份驗證 （MFA），以增強賬戶安全性。

這一措施將分階段逐步開展，以減小對企業和用戶的影響。為確保順利過渡，谷歌云將在此過程中提前通知，以幫助規劃 MFA 部署。這一措施也不會影響非谷歌云的其他一般消費者的谷歌帳戶。

第一階段從本月（11月）開始，通過谷歌云后臺界面的提示鼓勵用戶使用MFA。根據谷歌的說法，這將涉及約30%的用戶；第二階段將于 2025 年初開始，屆時所有僅使用密碼登錄的現有和新谷歌云用戶都將收到通知，以便在 Google Cloud Console、Firebase Console、gCloud 和其他平臺上啟用 MFA；最后，到 2025 年底，所有谷歌云用戶和聯合身份用戶都將強制要求使用MFA。

谷歌表示，對谷歌云用戶的強制性 MFA 要求是為了提高安全性，并將其視為保護帳戶免受日益復雜的威脅的關鍵步驟，這些威脅可能會損害敏感數據并造成重大損害。

谷歌云工程副總裁 Mayank Upadhyay 表示，過去 15 年來，在線賬戶數量激增，使用單一復雜密碼和密碼重用已成為安全威脅的來源，谷歌威脅情報部門（Google Threat Intelligence）一直認為網絡釣魚和憑證被盜是最主要的攻擊手段，因此保護身份成為安全團隊的首要任務。如今有許多 MFA 解決方案可供選擇，企業很容易找到適合自身需求的解決方案。

這家科技巨頭引用了 CISA 的研究，該研究表明，MFA 使用戶被黑客攻擊的可能性降低了 99%，并指出其自己的數據證實了美國政府機構的調查結果。

但即便如此，MFA 并非萬無一失。 “強制性 MFA 對于企業安全是必要的，但還不夠。這是因為 MFA 不是生而平等的，也沒有提供相同級別的安全保證，”Beyond Identity 首席執行官 Jasson Casey表示。

MFA 和雙因素身份驗證已經以某種形式使用了 20 多年，攻擊者有時間對其進行創新，Mimoto 首席執行官兼聯合創始人 Kris Bondi 在一份電子郵件聲明中表示。威脅行為者越來越多地發起可以繞過傳統 MFA 的網絡釣魚操作，這就是 NIST 和 CISA 敦促采用防網絡釣魚 MFA 的原因。