Produit et technologie

Snowflake étend ses méthodes MFA prises en charge et les rend disponibles par défaut partout

Digital illustration of a security icon overlaid on a world map

Plus tôt cette année, nous avons annoncé un plan en plusieurs étapes visant à bloquer les connexions par mot de passe à facteur unique. À compter du mois de mai, l’authentification multifactorielle (MFA) sera appliquée à toutes les connexions par mot de passe à Snowsight pour les utilisateurs humains dans le cadre du BCR 2025_04. Les connexions par mot de passe en dehors de Snowsight, comme celles dans les outils de BI comme PowerBI, seront exemptées de cette politique. Toutefois, cette exemption est temporaire et sera levée d’ici mars 2026, lorsque Snowflake appliquera la MFA sur toutes les surfaces. L’application de la MFA sur le déploiement de Snowsight suivra le processus de gestion des changements comportementaux de Snowflake. 

Nous annonçons également la disponibilité générale de nouvelles méthodes MFA : les applications d’authentification et les passkeys. Pour prendre en charge les applications de Business Intelligence existantes qui ne prennent pas encore en charge la connexion MFA, nous lançons des tokens d'accès programmatiques (PAT) en remplacement des mots de passe. 

Notez que l’application de la MFA dans Snowsight n’affectera pas les utilisateurs à connexion unique utilisant le SAML ou OAuth, ni les utilisateurs de services hérité. Les comptes gérés et les comptes d’essai ne sont pas inclus dans ce déploiement. 

Réponse aux préoccupations des clients concernant la MFA avec de nouvelles fonctionnalités 

Pour mieux comprendre les défis de la mise en place de la MFA, nous avons interrogé plus de 100 clients. Au cours de ces échanges, deux améliorations clés ont été apportées au produit :

  • Autres méthodes MFA : nos clients nous ont dit qu’ils souhaitaient pouvoir utiliser leurs méthodes MFA existantes et approuvées avec Snowflake.

  • Solution pour les applications de Business Intelligence qui ne prennent pas actuellement en charge la MFA : nos clients nous ont demandé de fournir une solution pour les applications qui prennent en charge uniquement les mots de passe.

Nous sommes heureux d’annoncer la mise à disposition générale de quatre produits qui répondent à ces préoccupations :

  • Prise en charge des passkeys : basées sur les normes du secteur établies par FIDO, les passkeys permettent de se connecter à Snowflake avec le même processus que les utilisateurs utilisent pour déverrouiller leur appareil (biométrie, code PIN, clés de sécurité). Notez que les passkeys ne sont prises en charge que comme facteur d'authentification secondaire, en plus du nom d'utilisateur et du mot de passe.

Screenshot of touch ID MFA app
  • Prise en charge des applications d’authentification : Sur la base de la norme du secteur Time-Based One-Time Password (TOTP), les utilisateurs peuvent désormais utiliser leurs applications d’authentification approuvées existantes (comme les applications d’authentification Microsoft ou Google) pour accéder à Snowflake via MFA.
Screenshot of an authenticator app used for MFA
  • Prise en charge des tokens d’accès programmatiques : nous avons introduit les PAT comme solution d’accès programmatique à Snowpark Container Services (SPCS) et aux API REST Snowflake. Les PAT peuvent également remplacer les mots de passe dans les applications qui prennent en charge uniquement l’authentification par nom d’utilisateur et mot de passe. Les PAT élèvent la barre de sécurité car par défaut, ils sont liés à des rôles spécifiques, ont une date d'expiration et doivent être utilisés en même temps qu'une politique réseau. Nous recommandons de créer des PAT distincts pour différents cas d’usage afin de minimiser le rayon d’explosion en cas de compromission des PAT.
Screenshot of programmatic access token
  • Prise en charge d’OAuth dans les pilotes Snowflake : pour simplifier la migration vers la fédération, nous introduisons la prise en charge native d’OAuth dans les pilotes ODBC, JDBC et Python (tous disponibles pour tous nos clients). Nous prévoyons d’étendre cette prise en charge à tous les autres pilotes dans les mois à venir. En utilisant Snowflake OAuth parallèlement à la nouvelle configuration OAuth pour les « applications locales », les pilotes peuvent prendre en charge nativement les nouvelles méthodes MFA, y compris les passkeys et les applications d’authentification.

Que devriez-vous faire ?

Consultez la liste des utilisateurs concernés dans votre compte Snowflake en visitant le nouveau scanner Risky Human User dans le package Trust Center Threat Intel. Nous recommandons de suivre nos meilleures pratiques de migration depuis l’authentification monofactorielle afin de limiter les résultats. Si vous avez des préoccupations ou des questions, veuillez contacter votre représentant ou le support Snowflake. 

Et maintenant ?

Comme annoncé précédemment, Snowflake va bientôt supprimer les connexions par mot de passe à facteur unique. Prenez une longueur d’avance et commencez votre migration utilisateur dès aujourd’hui en suivant nos meilleures pratiques de migration depuis l’authentification monofactorielle. 

Déclarations prévisionnelles

Cet article contient des déclarations prévisionnelles, notamment de futures offres de produits. Il ne constitue en aucun cas un engagement à fournir des offres de produits. Les offres et résultats réels peuvent varier et faire l’objet de risques connus et inconnus, ainsi que d’incertitudes. Découvrez notre dernier 10‑Q pour en savoir plus.

 

Ressources

Meilleures pratiques de migration depuis l’authentification monofactorielle

Découvrez comment tirer parti des fonctionnalités de Snowflake pour appliquer une authentification forte et réduire les risques de vol d'informations d'identification.
Partager cet article

Subscribe to our blog newsletter

Get the best, coolest and latest delivered to your inbox each week

Démarrez votre essai gratuitde 30 jours

Essayez Snowflake gratuitement pendant 30 jours et découvrez l’AI Data Cloud qui élimine la complexité, les coûts et les contraintes d’autres solutions.