Produkt & Technologie

Snowflake blockiert ab November 2025 Single-Faktor-Passwortauthentifizierung

Digital image of hands using a laptop with a lock and shield security icon and password box with asterisks overlaid.

Anfang dieses Jahres unterzeichnete Snowflake die Zusage Secure by Design der Cybersecurity and Infrastructure Security Agency (CISA). Im Rahmen dieser Zusage verkünden wir, dass Snowflake Anmeldungen über Single-Faktor-Authentifizierung mit Passwörtern ab November 2025 blockieren wird.

Dieses erhöhte Schutzniveau ergänzt die wachsenden Sicherheitsfunktionen von Snowflake Horizon Catalog, mit denen Sicherheitsadmins und Chief Information Security Officers ihre Sicherheitslage besser schützen und das Risiko von Anmeldedatendiebstahl minimieren können. Es folgt auch unsere vorherige Ankündigung, dass Multi-Faktor-Authentifizierung (MFA) der Standard für alle Passwort-Anmeldungen in neuen Snowflake-Konten sein wird, die ab Oktober 2024 erstellt werden.

Um diesen Meilenstein zu erreichen und sicherzustellen, dass wir einen tragfähigen Migrationspfad für alle Kunden entwickeln, verfolgen wir einen schrittweisen Ansatz. Bevor wir auf die einzelnen Phasen eingehen, legen wir noch einige Taxonomien fest:

  • Konto: Dies bezieht sich auf den Container, der verschiedene Objekte wie Tabellen, Ansichten, Datenbanken, Schemata und Benutzerkonten enthält. Weitere Informationen finden Sie hier

  • User: Dies bezieht sich auf Objekte, die die Identität von Personen zeigen, die auf die Konten von Kunden zugreifen können, und auf die Objekte darin. Weitere Informationen finden Sie hier.

  • Menschliche User: Dies betrifft menschliche Benutzer:innen, die sich normalerweise über ein interaktives Login bei Snowflake anmelden. Solche User werden im Snowflake-Benutzerobjekt mit TYPE = PERSON oder NULL deklariert (standardmäßig ist NULL). Weitere Informationen finden Sie hier.

  • Service-User: Das sind User, die für den programmatischen Zugriff ohne interaktive Anmeldung genutzt werden. Solche User werden im Snowflake-Benutzerobjekt mit TYPE = SERVICE oder LEGACY_SERVICE deklariert. Weder SERVICE noch LEGACY_SERVICE unterliegen den Snowflake MFA-Richtlinien. SERVICE-User können sich nicht mit Passwörtern anmelden. LEGACY_SERVICE ist für Anwendungen gedacht, deren Aktualisierung und Entfernung von Passwörtern länger dauert. Daher hat LEGACY_SERVICE eine vorübergehende Ausnahme, um Passwörter zu verwenden, bis die App aktualisiert wird. Weitere Informationen finden Sie hier.

Unser schrittweiser Ansatz umfasst drei Phasen:

  1. April 2025: Aktivieren Sie für alle Konten die Standardauthentifizierungsrichtlinie, wobei MFA bei Passwort-Anmeldungen für menschliche Benutze:innen durchgesetzt wird. In dieser Phase müssen sich alle menschlichen Benutzer:innen in Konten ohne eine benutzerdefinierte Authentifizierungsrichtlinie bei ihrer nächsten passwortbasierten Anmeldung bei Snowflake für MFA anmelden. Wenn ein Konto zum Zeitpunkt dieses Rollouts bereits über eine benutzerdefinierte Authentifizierungsrichtlinie verfügt, werden menschliche Benutzer:innen keine Unterschiede in ihrer Anmeldeerfahrung feststellen. In dieser Zeit werden wir auch den Zugriff auf Snowsight für LEGACY_SERVICE-User sperren.

  2. August 2025: Setzen Sie MFA bei allen passwortbasierten Anmeldungen für menschliche Benutzer:innen durch. Selbst wenn der Kunde in dieser Phase bereits eine benutzerdefinierte Authentifizierungsrichtlinie definiert hat, müssen sich alle menschlichen Benutzer:innen bei der Anmeldung mit Passwörtern mit MFA anmelden. 

  3. November 2025: Blockieren Sie die Anmeldung bei Snowflake durch Single-Faktor-Authentifizierung mit Passwörtern für alle User (Mensch oder Service). In dieser Phase ist LEGACY_SERVICE veraltet und alle LEGACY_SERVICE-User werden zu SERVICE-Usern migriert.

Beachten Sie, dass diese Richtlinien keine Auswirkungen auf Single-Sign-On-User (mit SAML oder OAuth) oder User mit Schlüsselpaarauthentifizierung haben. 

Um Sie bei der Migration zu unterstützen, haben wir ein Whitepaper und einen dazugehörigen Videomigrationsleitfaden erstellt.  Außerdem haben wir dem Trust Center ein neues Scanner-Paket hinzugefügt: Threat Intelligence (allgemein verfügbar), mit dem Sie schnell Ihr Konto scannen und User finden können, die das Risiko eines Zugriffsverlusts haben (hier gibt es eine schrittweise Anleitung). Wir arbeiten auch mit unseren Partnern und Ökosystemen – einschließlich Tableau – zusammen, um ihre Lösungen für unsere Vision einer stärkeren Authentifizierung vorzubereiten.

Snowflake wird auch weiterhin in die Sicherheitsfunktionen unserer Kundenkonten investieren und weitere Produkte und Innovationen in diesem Bereich einführen, wie z. B. native Unterstützung für Passkeys und zeitbasiertes Einmalpasswort (Time Based One Time Password, TOTP), einschließlich Authentifizierungs-Apps. All dies wird Hand in Hand mit den anderen kürzlich angekündigten Funktionen von Snowflake funktionieren, darunter Leaked Password Protection, Trust Center, MFA Policies, Programmatic Access Tokens (demnächst in Private Preview) und viele weitere. Bleiben Sie auf dem Laufenden!

Zukunftsgerichtete Aussagen

Dieser Artikel enthält zukunftsgerichtete Aussagen, unter anderem über künftige Produktangebote. Diese Aussagen stellen keine Garantie dar, dass diese Angebote wirklich bereitgestellt werden. Die tatsächlichen Ergebnisse und Angebote können abweichen und unterliegen bekannten und unbekannten Risiken und Unsicherheiten. Weitere Informationen finden Sie in unserem jüngsten 10-Q-Formular.

 

Gitterhintergrund mit blauem Schild und Sicherheitsschloss-Symbol oben.
White Paper

Best Practices to Mitigate the Risk of Credential Compromise

Learn how to leverage Snowflake native platform features to enforce strong authentication and mitigate the risks of credential theft.
Share Article

Subscribe to our blog newsletter

Get the best, coolest and latest delivered to your inbox each week

Starten Sie Ihre 30-tägigekostenlose Testversion

Testen Sie Snowflake 30 Tage kostenlos und erleben Sie die Data Cloud – ohne die Komplexität, Kosten und Beschränkungen anderer Lösungen.