گوگل MFA را اجباری می‌کند، برنامه زمانی احراز هویت چندمرحله‌ای مشخص شد.

گوگل در ماه نوامبر آن را اعلام کرد، اکنون برنامه زمانی برای تغییر اجباری به احراز هویت چندمرحله‌ای (MFA) برای حساب‌های گوگل تعیین شده است.

اجبار احراز هویت چندمرحله‌ای (MFA): برنامه زمانی مشخص شد

احراز هویت چندمرحله‌ای (MFA) محافظت بهتری در برابر حملات فیشینگ یا استفاده مستقیم از اطلاعات ورود به سیستم از طریق نشت داده‌ها فراهم می‌کند. گوگل در ماه نوامبر اعلام کرد که احراز هویت چندمرحله‌ای برای حساب‌های آنلاین این شرکت اجباری خواهد شد. اکنون، برنامه زمانی اجرای این تغییر مشخص شده است.

در مقاله‌ای درباره سرویس ابری گوگل، این شرکت تغییرات و جزئیات مربوطه را توضیح داده است. طبق اعلام گوگل، حساب‌هایی که از MFA استفاده می‌کنند، با احتمال ۹۹ درصد مورد نفوذ قرار نمی‌گیرند. به همین دلیل، این شرکت به تدریج الزام فعال‌سازی MFA را برای تمامی حساب‌های ابری خود اعمال خواهد کرد.

برنامه زمانی برای اجبار فعال‌سازی MFA

اولین گروهی که تحت تأثیر این تغییر قرار می‌گیرند، فروشندگان (Resellers) خواهند بود. از تاریخ ۲۸ آوریل ۲۰۲۵، گوگل استفاده از MFA را برای حساب‌های فروشندگان اجباری خواهد کرد، اما در این مرحله، حساب‌های مشتریان آن‌ها مشمول این الزام نمی‌شوند.

حساب‌های خصوصی گوگل، از جمله حساب‌های Gmail، از ۱۲ می ۲۰۲۴ مشمول این الزام خواهند شد. حساب‌های Cloud Identity شرکت‌هایی که از احراز هویت یکپارچه (SSO) استفاده نمی‌کنند، در سه‌ماهه سوم ۲۰۲۴ تحت این تغییر قرار می‌گیرند. در نهایت، حساب‌های سازمانی که از احراز هویت فدراسیونی استفاده می‌کنند، در سه‌ماهه چهارم ۲۰۲۵ یا حتی دیرتر، مشمول این تغییر خواهند شد.

گوگل قصد دارد کاربران را از این تغییرات به‌موقع آگاه کند. در کنسول ابری گوگل (Google Cloud Console) حداقل ۹۰ روز قبل از اجبار MFA یک یادآوری نمایش داده خواهد شد و همچنین یک ایمیل به کاربران ارسال می‌شود. فروشندگان و کاربران آن‌ها این اعلان‌ها را ۶۰ روز قبل از موعد نهایی دریافت خواهند کرد. در حال حاضر، کاربران خصوصی یک ایمیل اطلاع‌رسانی دریافت می‌کنند، حتی اگر قبلاً 2FA را فعال کرده باشند. این ایمیل شامل لینکی به تنظیمات امنیتی حساب گوگل است که در آن کاربران می‌توانند بررسی کنند که آیا احراز هویت چندمرحله‌ای فعال شده است و چه روش‌هایی (مانند Passkeys، کلیدهای امنیتی، اپلیکیشن‌های احراز هویت یا شماره تلفن‌های ثبت‌شده) برای ورود دومرحله‌ای آن‌ها استفاده می‌شود.

سرویس‌های تحت تأثیر این تغییر

این تغییر بر دسترسی به Google Cloud Console، ابزار خط فرمان gcloud و Firebase Console تأثیر می‌گذارد. با این حال، ورود به حساب گوگل، استفاده از Google Workspace و سرویس‌هایی مانند YouTube همچنان بدون نیاز به MFA امکان‌پذیر خواهد بود.

البته، سرویس‌هایی مانند Google Sheets و Google Slides شامل این تغییرات نمی‌شوند، اما دارای الزامات جداگانه‌ای برای MFA هستند. گوگل به همه کاربران توصیه می‌کند که هم‌اکنون MFA را فعال کرده و خود را برای این تغییرات آماده کنند.

آیا امکان غیرفعال کردن MFA برای کاربران سازمانی وجود دارد؟

به نظر می‌رسد که برای کاربران خصوصی دیگر راه گریزی از این الزام وجود ندارد، اما گوگل برای کاربران سازمانی در حال بررسی راهکاری برای ارائه یک برنامه غیرفعال‌سازی MFA است. اطلاعات بیشتر در بخش پرسش‌های متداول (FAQ) مقاله مربوطه در دسترس خواهد بود.

در نوامبر گذشته، گوگل اعلام کرده بود که کاربران پلتفرم ابری Google Cloud Platform (GCP) باید علاوه بر رمز عبور و نام کاربری، یک کد اضافی برای ورود وارد کنند. هدف از اجرای این سیاست جدید، جلوگیری از تصاحب حساب‌های کاربری بوده است. در آن زمان، تنها یک بازه زمانی کلی ارائه شده بود که اکنون به‌طور دقیق مشخص شده است.