Planung für die Abschaffung der Anmeldung mit Ein-Faktor-Kennwort¶

Um den Sicherheitsstatus aller seiner Kunden zu verbessern, führt Snowflake Änderungen durch, um eine mehrstufige Authentifizierung (MFA) für alle menschlichen Benutzer zu verlangen, die Kennwörter verwenden, und verbietet Kennwörter für alle Service-Benutzer. Diese Service-Benutzer müssen zu einer stärkeren Authentifizierungsmethode wechseln, die keine Interaktion mit einer Person erfordert. Unter diesem Thema wird beschrieben, wann Ein-Faktor-Kennwörter veraltet sein werden, damit Sie entsprechend planen können.

Wichtig

Snowflake bietet ein Tool, das Sie durch den Prozess der Implementierung einer starken Authentifizierung für alle Benutzer führt, sodass Sie auf die Abschaffung von Ein-Faktor-Kennwörtern vorbereitet sind. Weitere Informationen dazu finden Sie unter Starker Authentifizierungs-Hub.

Der unter diesem Thema beschriebenen Phasen gelten nicht für Lesekonten oder Testkonten. Sie können sich weiterhin mit einem Ein-Faktor-Kennwort bei diesen Kontotypen anmelden.

Menschliche Benutzer vs. Service-Benutzer¶

Die Benutzerobjekte in Snowflake entsprechen nicht immer den menschlichen Benutzern. Es gibt Benutzer, die sich ohne menschliche Interaktion bei Snowflake anmelden — zum Beispiel eine Anwendung oder ein Dienst. Diese Benutzer werden als Service-Benutzer betrachtet.

Administratoren verwenden den Parameter TYPE eines Benutzerobjekts, um festzulegen, ob ein Benutzer ein menschlicher Benutzer oder ein Service-Benutzer ist.

Für menschliche Benutzer: TYPE=PERSON. Wenn Sie den Parameter TYPE nicht setzen oder ihn auf NULL setzen, wird der Benutzer wie ein menschlicher Benutzer behandelt.
Für Service-Benutzer, TYPE=SERVICE.

Bemerkung

Der Benutzertyp LEGACY_SERVICE hilft Kunden bei der Umstellung von Service-Benutzern auf eine sichere Form der Authentifizierung. Wenn Sie den Typ eines Benutzers vorübergehend auf LEGACY_SERVICE setzen, kann sich der Benutzer mit einem Kennwort authentifizieren, obwohl es sich um eine Anwendung oder einen Dienst handelt. Der in diesem Thema beschriebene Rollout beinhaltet die schrittweise Abschaffung dieses Benutzertyps.

Die Unterscheidung zwischen einem menschlichen Benutzer und einem Service-Benutzer ist wichtig, da dieses Rollout diese beiden Typen von Benutzern unterschiedlich beeinflusst. Um die Sicherheit für beide Arten von Benutzern zu verbessern, besteht die Durchsetzung einer starken Authentifizierung aus folgenden Schritten:

Alle menschlichen Benutzer, die die Authentifizierung per Kennwort verwenden, müssen einen zweiten Authentifizierungsfaktor verwenden.
Alle Legacy-Service-Benutzer, die derzeit die Authentifizierung mit Kennwörtern verwenden, müssen auf eine sicherere Authentifizierungsmethode umsteigen.

Zeitleiste der Durchsetzung¶

Die folgende Tabelle enthält den Zeitplan für die Durchsetzung starker Authentifizierungsmethoden.

Geschätztes Datum	Betroffene Benutzer	Phase
Sep. 2025 bis Jan. 2026	Menschliche Benutzer	Obligatorische MFA für alle Benutzer von Snowsight
Mai 2026 – Juli 2026	Menschliche Benutzer Legacy-Service-Benutzer	Starke Authentifizierung für NEW Benutzer
August 2026 bis Oktober 2026	Menschliche Benutzer Legacy-Service-Benutzer	Starke Authentifizierung für ALL Benutzer

Wie Sie eine starke Authentifizierung implementieren, um diese Frist einzuhalten, erfahren Sie unter Starker Authentifizierungs-Hub.

Phase 1: MFA obligatorisch für alle Snowsight-Benutzer (neue und bestehende)¶

Phase 1 wird mit dem bewährten Prozess der Freigabe von Verhaltensänderungen von Snowflake implementiert. Dabei veröffentlicht Snowflake jeden Monat ein Verhaltensänderungs-Bundle. Da die Änderungen in einem Verhaltensänderungs-Bundle enthalten sind, stimmt die Durchsetzung der neuen Einschränkungen mit dem Lebenszyklus des Bundles überein.

Weitere Informationen über den Lebenszyklus von Verhaltensänderungs-Bundles, mit denen Sie die Durchsetzung diese Phase planen können, finden Sie unter Richtlinie für Verhaltensänderungen.

Bundle 2025_06 (September 2025 – Januar 2026) [1]

Ziel	Neues Verhalten
Obligatorische MFA für alle Snowsight-Benutzer	Menschliche Benutzer müssen sich mit einem zweiten Faktor authentifizieren, wenn sie ein Kennwort für den Zugriff auf Snowsight verwenden, wobei es keine Ausnahmen gibt. Beachten Sie Folgendes: Diese Phase betrifft nur Snowsight. Öffentliche Benutzer können weiterhin ein Einzelfaktor-Kennwort verwenden, um von Business Intelligence (BI) und ähnlichen Tools aus auf den Snowflake Service zuzugreifen, auch nachdem sie Snowsight verwendet haben, um sich für MFA anzumelden. Sie können wählen, ob Sie MFA für diese anderen Tools durchsetzen möchten; Benutzer, die bereits in MFA registriert sind und MFA außerhalb von Snowsight verwenden, können weiterhin MFA verwenden. Authentifizierungsrichtlinien, die eine optionale MFA-Registrierung für Snowsight implementiert haben, werden außer Kraft gesetzt. Da Benutzer, die sich mit Snowflake OAuth authentifizieren, die Anmeldeschnittstelle Snowsight verwenden, müssen sie bei MFA angemeldet sein. Single Sign-On-Benutzer sind von dieser Änderung nicht betroffen und können weiterhin ohne Änderungen auf Snowsight zugreifen. Benutzer von Legacy-Diensten (`TYPE=LEGACY_SERVICE`) sind von dieser Änderung nicht betroffen und können weiterhin mit einem Ein-Faktor-Kennwort auf Snowsight zugreifen.

Ziel

Neues Verhalten

Obligatorische MFA für alle Snowsight-Benutzer

Menschliche Benutzer müssen sich mit einem zweiten Faktor authentifizieren, wenn sie ein Kennwort für den Zugriff auf Snowsight verwenden, wobei es keine Ausnahmen gibt.

Beachten Sie Folgendes:

Diese Phase betrifft nur Snowsight. Öffentliche Benutzer können weiterhin ein Einzelfaktor-Kennwort verwenden, um von Business Intelligence (BI) und ähnlichen Tools aus auf den Snowflake Service zuzugreifen, auch nachdem sie Snowsight verwendet haben, um sich für MFA anzumelden. Sie können wählen, ob Sie MFA für diese anderen Tools durchsetzen möchten; Benutzer, die bereits in MFA registriert sind und MFA außerhalb von Snowsight verwenden, können weiterhin MFA verwenden.
Authentifizierungsrichtlinien, die eine optionale MFA-Registrierung für Snowsight implementiert haben, werden außer Kraft gesetzt.
Da Benutzer, die sich mit Snowflake OAuth authentifizieren, die Anmeldeschnittstelle Snowsight verwenden, müssen sie bei MFA angemeldet sein.
Single Sign-On-Benutzer sind von dieser Änderung nicht betroffen und können weiterhin ohne Änderungen auf Snowsight zugreifen.
Benutzer von Legacy-Diensten (TYPE=LEGACY_SERVICE) sind von dieser Änderung nicht betroffen und können weiterhin mit einem Ein-Faktor-Kennwort auf Snowsight zugreifen.

Ausführliche Informationen darüber, wie sich die Änderungen in diesem Bundle auf das Kennwort und die SSO-Authentifizierung für Ihre Benutzenden auswirken, finden Sie unter Kommende Erzwingung der mehrstufigen Authentifizierung (MFA) für Snowsight-Anmeldungen mit Einzelfaktor-Kennwörtern (Wissensdatenbankartikel).

Phase 2: Starke Authentifizierung für neue Benutzer¶

Phase 2 wird in den Konten während eines Zeitraums von drei Monaten fortlaufend durchgesetzt. Sie erhalten eine Benachrichtigung mit dem Datum der Durchsetzung für Ihr Konto.

Mai 2026 – Juli 2026 [2]

Ziel	Neues Verhalten
MFA obligatorisch für alle neuen menschlichen Benutzer	Alle menschlichen Benutzer, die nach der Aktivierung dieser Phase erstellt werden, müssen bei der Authentifizierung mit einem Kennwort einen zweiten Faktor verwenden, einschließlich derer, die BI-Tools oder ähnliches verwenden. Menschliche Benutzer, die existierten, bevor die Phase in Kraft tritt, sind nicht betroffen. Diese Kennwortbenutzer können weiterhin BI-Tools oder ähnliches (alles außer Snowsight) ohne einen zweiten Authentifizierungsfaktor bis zur nächsten Phase verwenden. Angenommen, diese Phase tritt am 15. Mai 2026 in Kraft. Alle menschlichen Benutzer, die an oder nach diesem Datum erstellt werden, müssen unabhängig von der Oberfläche einen zweiten Authentifizierungsfaktor verwenden. Menschliche Benutzer, die vor diesem Datum existierten, können weiterhin die Nur-Kennwort-Authentifizierung für BI-Tools verwenden, aber nicht für Snowsight.
Keine neuen Legacy-Service-Benutzer	Alle nicht-menschlichen Benutzer, die nach der Durchsetzung der Phase erstellt werden, müssen vom Typ `SERVICE` sein, wodurch sie daran gehindert werden, ein Kennwort zu verwenden. Der Typ `LEGACY_SERVICE` ist beim Erstellen eines neuen Benutzerobjekts nicht mehr verfügbar. Darüber hinaus können Administratoren den Typ eines bestehenden Benutzers nicht in `LEGACY_SERVICE` ändern. Angenommen, diese Phase tritt am 15. Mai 2026 in Kraft. Nach diesem Datum ist `TYPE=LEGACY_SERVICE` beim Ausführen des Befehls CREATE USER oder ALTER USER eine ungültige Option.

Ziel

Neues Verhalten

MFA obligatorisch für alle neuen menschlichen Benutzer

Alle menschlichen Benutzer, die nach der Aktivierung dieser Phase erstellt werden, müssen bei der Authentifizierung mit einem Kennwort einen zweiten Faktor verwenden, einschließlich derer, die BI-Tools oder ähnliches verwenden.

Menschliche Benutzer, die existierten, bevor die Phase in Kraft tritt, sind nicht betroffen. Diese Kennwortbenutzer können weiterhin BI-Tools oder ähnliches (alles außer Snowsight) ohne einen zweiten Authentifizierungsfaktor bis zur nächsten Phase verwenden.

Angenommen, diese Phase tritt am 15. Mai 2026 in Kraft. Alle menschlichen Benutzer, die an oder nach diesem Datum erstellt werden, müssen unabhängig von der Oberfläche einen zweiten Authentifizierungsfaktor verwenden. Menschliche Benutzer, die vor diesem Datum existierten, können weiterhin die Nur-Kennwort-Authentifizierung für BI-Tools verwenden, aber nicht für Snowsight.

Keine neuen Legacy-Service-Benutzer

Alle nicht-menschlichen Benutzer, die nach der Durchsetzung der Phase erstellt werden, müssen vom Typ SERVICE sein, wodurch sie daran gehindert werden, ein Kennwort zu verwenden. Der Typ LEGACY_SERVICE ist beim Erstellen eines neuen Benutzerobjekts nicht mehr verfügbar. Darüber hinaus können Administratoren den Typ eines bestehenden Benutzers nicht in LEGACY_SERVICE ändern.

Angenommen, diese Phase tritt am 15. Mai 2026 in Kraft. Nach diesem Datum ist TYPE=LEGACY_SERVICE beim Ausführen des Befehls CREATE USER oder ALTER USER eine ungültige Option.

Phase 3: Starke Authentifizierung für alle Benutzer¶

Phase 3 wird in den Konten während eines Zeitraums von drei Monaten fortlaufend durchgesetzt. Sie erhalten eine Benachrichtigung mit dem Datum der Durchsetzung für Ihr Konto.

August 2026 – Oktober 2026 [3]

Ziel	Neues Verhalten
MFA obligatorisch für alle menschlichen Benutzer	Wenn diese Phase in Kraft tritt, müssen alle neuen und bestehenden menschlichen Benutzer bei der Authentifizierung mit einem Kennwort einen zweiten Faktor verwenden, ohne Ausnahme.
Keine Legacy-Service-Benutzer	Wenn diese Phase in Kraft tritt, werden alle nicht-menschlichen Benutzer daran gehindert, ein Kennwort zur Authentifizierung zu verwenden. Der Benutzertyp `LEGACY_SERVICE` wird vollständig aufgelassen. Alle bestehenden Benutzer-Objekte mit `TYPE=LEGACY_SERVICE` werden auf `TYPE=SERVICE` migriert. Dadurch können sie kein Kennwort mehr verwenden.

Ziel

Neues Verhalten

MFA obligatorisch für alle menschlichen Benutzer

Wenn diese Phase in Kraft tritt, müssen alle neuen und bestehenden menschlichen Benutzer bei der Authentifizierung mit einem Kennwort einen zweiten Faktor verwenden, ohne Ausnahme.

Keine Legacy-Service-Benutzer

Wenn diese Phase in Kraft tritt, werden alle nicht-menschlichen Benutzer daran gehindert, ein Kennwort zur Authentifizierung zu verwenden.

Der Benutzertyp LEGACY_SERVICE wird vollständig aufgelassen. Alle bestehenden Benutzer-Objekte mit TYPE=LEGACY_SERVICE werden auf TYPE=SERVICE migriert. Dadurch können sie kein Kennwort mehr verwenden.

Wie Sie eine starke Authentifizierung implementieren, um die Anforderungen dieser Phase zu erfüllen, erfahren Sie unter Starker Authentifizierungs-Hub.