Mehr-Faktor-Authentifizierung (MFA) liefert besseren Schutz vor Phishing oder der direkten Nutzung von Zugangsdaten aus Datenlecks. Google hat im November einen MFA-Zwang für Online-Konten bei dem Unternehmen angekündigt. Jetzt hat es den Zeitplan festgezurrt.
Anzeige
In einem Artikel zu Googles Cloud erörtert das Unternehmen die Änderungen und Details. Demnach würden mit MFA geschützte Konten mit einer 99-prozentigen Wahrscheinlichkeit nicht geknackt, weshalb das Unternehmen nach und nach die Anforderung für alle Cloud-Konten einführt, dass MFA aktiviert sein muss.
Als Erstes sind Konten von Resellern an der Reihe. Für diese erzwingt Google ab dem 28. April 2025 den MFA-Einsatz. Kundenkonten der Reseller seien jedoch da noch nicht betroffen. Private Google-Konten, etwa zu Google Mail (Gmail), erhalten die MFA-Aktivierung ab dem 12. Mai dieses Jahres. Cloud-Identity-Konten für Unternehmen, die ohne Single-Sign-On (SSO) genutzt werden, folgen im dritten Quartal des Jahres. Und schließlich sind Unternehmenskonten mit föderierter Authentifizierung im vierten Quartal 2025 oder sogar später an der Reihe.
Google will zudem Betroffene rechtzeitig über diese Änderung informieren. In der Cloud-Konsole soll mindestens 90 Tage vor der erzwungenen MFA eine Erinnerung angezeigt und eine E-Mail diesbezüglich an Betroffene gesendet werden. Reseller und deren Nutzer erhalten diese Nachrichten 60 Tage vor dem Zieldatum. Privatkunden erhalten derzeit eine Hinweis-E-Mail, ganz gleich, ob sie 2FA bereits aktiviert haben oder nicht. Darin führt ein Link in das Google-Konto zu den Sicherheitseinstellungen. Dort lässt sich bei "2-Faktor-Authentifizierung" die Nutzung erkennen – etwa, ob sie bereits aktiviert wurde und welche Zweitfaktoren hinterlegt wurden, beispielsweise Passkeys und Sicherheitsschlüssel, Authenticator-Apps oder dafür angegebene Telefonnummern.
Betroffen von der Änderung ist der Zugriff auf die Google Cloud Console, die gcloud CLI und die Firebase Console. Die Anmeldung im Google-Konto und die Nutzung von Workspace oder Youtube ist weiter möglich, auch ohne aktivierte MFA, erörtert das Unternehmen. Zwar seien Google Workspace einschließlich Google Tabellen und Präsentationen von dieser Änderung ausgenommen, allerdings gelten dafür separate MFA-Anforderungen. Google empfiehlt allen Nutzerinnen und Nutzern, bereits jetzt MFA zu aktivieren und sich dringend über die bevorstehenden Anforderungen an die Bestätigung in zwei Schritten für alle genutzten Google-Produkte zu informieren. Allerdings scheint zumindest für Privatnutzer kein Herumkommen mehr möglich. Für Unternehmenskunden prüfe Google jedoch, ob es ein "Deaktivierungsprogramm" für die MFA-Anforderung geben wird. Weitere Details finden sich in der FAQ-Sektion des oben verlinkten Artikels.
Anfang vergangenen November hat Google angekündigt, dass Nutzerinnen und Nutzer der Google Cloud Platform (GCP) einen weiteren Code neben dem Passwort und Benutzernamen zur Anmeldung benötigen. Zweck der Einführung von MFA sei die Eindämmung von Accountübernahmen. Dort nannte das Unternehmen jedoch nur einen ganz groben Zeitplan, der nun konkretisiert wurde.