Em um passo significativo em direção à segurança digital, o Google confirmou que todos os clientes do Google Cloud terão que implementar a autenticação em múltiplas etapas (MFA) a partir de 2025. O anúncio foi feito após um período de crescente preocupação com a segurança de dados, e a empresa já começou a preparar o terreno com lembretes e dicas úteis disponibilizados na interface do Google Cloud Console. O início da implementação será gradual e a fase de enforcement iniciará no novo ano, reforçando a necessidade de um ambiente digital mais seguro para empresas e usuários.
A confirmação oficial sobre a obrigatoriedade da autenticação multi-fator (MFA) foi divulgada em um documento publicado em outubro, e ganhou mais visibilidade através de um blog post do vice-presidente de engenharia da empresa, Mayank Upadhyay. No comunicado, Upadhyay destacou que a implementação do MFA ocorrerá de maneira faseada, com todas as mudanças previstas para serem concluídas até o final de 2025. A medida visa proporcionar uma transição suave e planeada para os usuários e empresas, que receberão notificações antecipadas sobre as implementações da autenticação.
Essa decisão por parte do Google surge em um contexto alarmante de vazamentos de dados, com mais de um bilhão de registros sendo reportados como comprometidos em 2024. Um dos casos mais emblemáticos foi o ataque de ransomware à Change Healthcare, uma subsidiária da UnitedHealth, que resultou no roubo de dados de saúde de mais de 100 milhões de indivíduos nos Estados Unidos. Especialistas apontaram que a falta de medidas de proteção robustas, como o MFA, facilitou esses ataques. Além disso, outra grande brecha de segurança aconteceu com a empresa de armazenamento de dados Snowflake, que enfrentou o vazamento de informações privadas de seus clientes, incluindo a Ticketmaster. Novamente, a ausência de uma política de acesso rigorosa foi o fator determinante para a falha na segurança.
A ironia não escapa a ninguém, uma vez que a Mandiant, uma empresa de cibersegurança pertencente ao Google, colaborou com a Snowflake na investigação sobre os incidentes de segurança, chegando à conclusão de que era necessário um controle universal que garantisse a aplicação do MFA de maneira obrigatória. Assim, o Google agora responde ao chamado feito por sua própria subsidiária ao decidir implementar essa política.
A partir do início de 2025, todos os usuários do Google Cloud que atualmente fazem login apenas com senhas precisarão ativar o MFA. Isso significa que o acesso às suas contas no Google Cloud será garantido somente através de um mecanismo de autenticação secundário, que pode ser um aplicativo de autenticação ou uma chave de segurança física. Já no final do mesmo ano, essa exigência será estendida aos chamados “usuários federados”, aqueles que acessam recursos do Google Cloud por meio de um autenticador de terceiros.
Vale ressaltar que essa mudança ocorre em um momento em que outros gigantes do setor de nuvem, como AWS e Microsoft, já começaram a implementar a autenticação de múltiplas etapas. A Amazon Web Services (AWS) lançou uma abordagem faseada de MFA em junho, seguida pela Microsoft com sua plataforma Azure.
Embora os consumidores também possam se beneficiar da MFA em suas contas Google padrão, essa prática permanece opcional, permitindo que os usuários ativem ou desativem o recurso conforme desejarem. O Google estima que cerca de 70% das contas Google ativas tenham a verificação em duas etapas (2SV) habilitada, porém a decisão de torná-la obrigatória se aplica apenas aos clientes empresariais, devido aos riscos maiores associados às implantações na nuvem.
Mayank Upadhyay enfatizou que, apesar da ampla adoção da 2SV, a natureza sensível das implantações em nuvem e as crescentes ameaças, como phishing e credenciais roubadas, tornam necessário um reforço nas medidas de segurança. Assim, a obrigatoriedade da autenticação em múltiplas etapas não apenas atende a uma chamada emergente da indústria, mas também representa um avanço importante para a proteção de dados em um mundo cada vez mais digital e vulnerável.