Snowflake bloccherà l’autenticazione con password a singolo fattore entro novembre 2025

All’inizio di quest’anno, Snowflake ha firmato il Secure by Design pledge della Cybersecurity and Infrastructure Security Agency (CISA). Come parte di questo impegno, annunciamo che entro novembre 2025 Snowflake bloccherà gli accessi che utilizzano l’autenticazione a un solo fattore con password.
Questo livello di protezione potenziato si aggiunge alle crescenti funzionalità di sicurezza di Snowflake Horizon Catalog, e consente agli amministratori della sicurezza e ai Chief Information Security Officer di salvaguardare meglio la propria postura di sicurezza e mitigare i rischi di furto delle credenziali. Inoltre, fa seguito al nostro precedente annuncio che l’autenticazione a più fattori (MFA) sarà l’impostazione predefinita per tutti gli accessi con password dei nuovi account Snowflake creati a partire da ottobre 2024.
Per centrare questo traguardo e creare un percorso di migrazione sostenibile per tutti i clienti, stiamo adottando un approccio in più fasi. Prima di approfondire le diverse fasi, vediamo un po’ di definizioni:
Account: si riferisce al contenitore di vari oggetti, come tabelle, viste, database, schema e account utente. Vedi qui per maggiori informazioni.
Utenti: si riferisce agli oggetti che mostrano le identità delle persone che possono accedere agli account dei clienti e agli oggetti al loro interno. Vedi qui per maggiori informazioni.
Utenti umani: si riferisce agli utenti che sono esseri umani e normalmente utilizzano un login interattivo per accedere a Snowflake. Tali utenti vengono dichiarati nell’oggetto utente Snowflake con TYPE = PERSON o NULL (per impostazione predefinita è NULL). Vedi qui per maggiori informazioni.
Utenti di servizio: si riferisce agli utenti utilizzati per l’accesso programmatico senza login interattivo. Tali utenti vengono dichiarati nell’oggetto utente Snowflake con TYPE = SERVICE o LEGACY_SERVICE. Né SERVICE né LEGACY_SERVICE saranno soggetti alle policy MFA di Snowflake. Gli utenti SERVICE non possono utilizzare le password per accedere. LEGACY_SERVICE è destinato alle applicazioni che richiedono più tempo per aggiornarsi e allontanarsi dalle password; come tale, LEGACY_SERVICE ha un’eccezione temporanea per utilizzare le password fino a quando l’app non viene aggiornata. Vedi qui per maggiori informazioni.
Il nostro approccio prevede tre fasi:
Aprile 2025: abilitazione per tutti gli account del criterio di autenticazione predefinito, con MFA applicato agli accessi con password per gli utenti umani. In questa fase, tutti gli utenti umani in possesso di account senza un criterio di autenticazione personalizzato dovranno iscriversi all’MFA al successivo accesso basato su password a Snowflake. Se un account dispone già di un criterio di autenticazione personalizzato al momento della distribuzione, gli utenti umani non vedranno alcuna differenza nell’esperienza di accesso.
Agosto 2025: applicazione dell’MFA a tutti gli accessi basati su password per utenti umani. In questa fase, anche se il cliente ha una policy di autenticazione personalizzata già definita, tutti gli utenti umani dovranno utilizzare l’MFA quando accedono con password. In quel momento, bloccheremo anche l’accesso a Snowsight per gli utenti LEGACY_SERVICE.
Novembre 2025: blocco dell’accesso a Snowflake utilizzando l’autenticazione a un solo fattore con password per tutti gli utenti (umani o di servizio). In questa fase, LEGACY_SERVICE viene deprecato e tutti gli utenti LEGACY_SERVICE verranno migrati a utenti SERVICE.
Questi criteri non riguardano gli utenti con accesso singolo (che utilizzano SAML o OAuth) o gli utenti che utilizzano autenticazione a coppie di chiavi.
Per facilitare le migrazioni, abbiamo creato un white paper e una relativa guida video. Abbiamo anche aggiunto un nuovo pacchetto di scanner al Trust Center chiamato Threat Intelligence (in GA) in grado di eseguire rapidamente la scansione dell’account e trovare gli utenti che corrono il rischio di perdere l’accesso (vedere qui per una guida dettagliata). Abbiamo anche lavorato con i nostri partner e ecosistemi, tra cui Tableau, per aiutarli a preparare le loro soluzioni per la nostra visione di autenticazione più forte.
Snowflake continuerà a investire nelle funzionalità di sicurezza dei suoi account cliente e porterà più prodotti e innovazioni in questo campo, come il supporto nativo per le passkey e le time-based one-time password (TOTP), comprese le app di autenticazione. Tutte queste funzionalità funzioneranno insieme alle altre funzionalità annunciate di recente da Snowflake, tra cui Leaked Password Protection, Trust Center, policy MFA, Programmatic Access Tokens (presto in private preview) e molte altre. Continua a leggere per aggiornamenti!
Affermazioni riferite al futuro
Questo articolo contiene delle affermazioni riferite al futuro, tra cui offerte future di prodotti, che però non rappresentano un impegno a fornire alcuna offerta di prodotti. Le offerte e i risultati effettivi potrebbero essere diversi ed essere soggetti a incertezze e rischi noti e non noti. Fai riferimento al nostro più recente modulo 10‑Q per ulteriori informazioni.