Planung für die Abschaffung der Anmeldung mit Ein-Faktor-Kennwort¶

Um den Sicherheitsstatus aller seiner Kunden zu verbessern, führt Snowflake Änderungen durch, um eine mehrstufige Authentifizierung (MFA) für alle menschlichen Benutzer zu verlangen, die Kennwörter verwenden, und verbietet Kennwörter für alle Service-Benutzer. Unter diesem Thema wird beschrieben, wann die Ein-Faktor-Anmeldung mit Kennwörtern veraltet sein wird, damit Sie entsprechend planen können.

Wichtig

Im Oktober 2025 hat Snowflake den unter diesem Thema behandelten Zeitrahmen vereinfacht. Der neue Zeitrahmen konsolidiert die ersten Meilensteine und verlängert das endgültige Durchsetzungsdatum von August 2026 auf Oktober 2026. Diese Änderung vereinfacht den MFA-Einführungsprozess und wurde als Reaktion auf das direkte Feedback der Kunden hinsichtlich der Komplexität der Einhaltung der ursprünglichen Meilenstein-Zeitpläne erstellt.

Dieser überarbeitete Zeitrahmen bietet Ihrem Unternehmen mehr Zeit und Übersichtlichkeit, um die Migration Ihrer aktuellen Workloads zu planen, die auf Kennwörter angewiesen sind. Außerdem haben Sie die Möglichkeit, unsere kürzlich veröffentlichten Sicherheitsverbesserungen zu übernehmen, die Ihnen die Umstellung erleichtern sollen. Zu diesen Sicherheitsverbesserungen gehören Workload Identity Federation zur Authentifizierung Ihrer Service-Workloads ohne Geheimschlüssel und Einmalkennungen (OTP) als neue MFA-Methode für Ihre Firewall-Szenarios.

Der unter diesem Thema beschriebene Abschaffungsprozess gilt nicht für Lesekonten oder Testkonten. Sie können sich weiterhin mit einem Ein-Faktor-Kennwort bei diesen Kontotypen anmelden.

Menschliche Benutzer vs. Service-Benutzer¶

Die Benutzerobjekte in Snowflake entsprechen nicht immer den menschlichen Benutzern. Es gibt Benutzer, die sich ohne menschliche Interaktion bei Snowflake anmelden — zum Beispiel eine Anwendung oder ein Dienst. Diese Benutzer werden als Service-Benutzer betrachtet.

Administratoren verwenden den Parameter TYPE eines Benutzerobjekts, um festzulegen, ob ein Benutzer ein menschlicher Benutzer oder ein Service-Benutzer ist.

Für menschliche Benutzer: TYPE=PERSON. Wenn Sie den Parameter TYPE nicht setzen oder ihn auf NULL setzen, wird der Benutzer wie ein menschlicher Benutzer behandelt.
Für Service-Benutzer, TYPE=SERVICE.

Bemerkung

Der Benutzertyp LEGACY_SERVICE hilft Kunden bei der Umstellung von Service-Benutzern auf eine sichere Form der Authentifizierung. Wenn Sie den Typ eines Benutzers vorübergehend auf LEGACY_SERVICE setzen, kann sich der Benutzer mit einem Kennwort authentifizieren, obwohl es sich um eine Anwendung oder einen Dienst handelt. Der in diesem Thema beschriebene Rollout beinhaltet die schrittweise Abschaffung dieses Benutzertyps.

Die Unterscheidung zwischen einem menschlichen Benutzer und einem Service-Benutzer ist wichtig, da diese beiden Arten von Benutzern von der Einführung unterschiedlich betroffen sind. Um die Sicherheitslage für beide Arten von Benutzern zu verbessern, wird die Anmeldung mit Ein-Faktor-Kennwort wie folgt abgeschafft:

Alle menschlichen Benutzer, die die Authentifizierung per Kennwort verwenden, müssen einen zweiten Authentifizierungsfaktor verwenden.
Alle Legacy-Service-Benutzer, die derzeit die Authentifizierung mit Kennwörtern verwenden, müssen auf eine sicherere Authentifizierungsmethode umsteigen.

Zeitplan für die Abschaffung¶

In der folgenden Tabelle finden Sie den Zeitplan für die Abschaffung der Anmeldung mit Ein-Faktor-Kennwort.

Geschätztes Datum	Betroffene Benutzer	Meilenstein
Sep. 2025 bis Jan. 2026	Menschliche Benutzer	Obligatorische MFA für alle Benutzer von Snowsight
Mai 2026 – Juli 2026	Menschliche Benutzer Legacy-Service-Benutzer	Starke Authentifizierung für NEW Benutzer
August 2026 bis Oktober 2026	Menschliche Benutzer Legacy-Service-Benutzer	Starke Authentifizierung für ALL Benutzer

Meilenstein 1: MFA (obligatorisch) für alle Snowsight-Benutzer (neue und bestehende)¶

Meilenstein 1 wird mit dem bewährten Prozess der Freigabe von Verhaltensänderungen von Snowflake implementiert. Dabei veröffentlicht Snowflake jeden Monat ein Verhaltensänderungs-Bundle. Da die Änderungen in einem Verhaltensänderungs-Bundle enthalten sind, stimmt die Durchsetzung der neuen Einschränkungen mit dem Lebenszyklus des Bundles überein.

Weitere Informationen über den Lebenszyklus von Verhaltensänderungs-Bundles, mit denen Sie die Durchsetzung dieses Meilensteins planen können, finden Sie unter Richtlinie für Verhaltensänderungen.

Bundle 2025_06 (September 2025 – Januar 2026) [1]

Ziel	Neues Verhalten
Obligatorische MFA für alle Snowsight-Benutzer	Menschliche Benutzer müssen sich mit einem zweiten Faktor authentifizieren, wenn sie ein Kennwort für den Zugriff auf Snowsight verwenden, wobei es keine Ausnahmen gibt. Beachten Sie Folgendes: Dieser Meilenstein betrifft nur Snowsight. Menschliche Benutzer können weiterhin ein Ein-Faktor-Kennwort verwenden, um von Business Intelligence (BI) und ähnlichen Tools aus auf den Snowflake Service zuzugreifen, auch nachdem sie sich über Snowsight bei MFA angemeldet haben. Sie können sich dafür entscheiden, MFA für diese anderen Tools zu erzwingen; Benutzer, die bereits bei MFA angemeldet sind und MFA außerhalb von Snowsight verwenden, werden weiterhin MFA verwenden. Authentifizierungsrichtlinien, die eine optionale MFA-Registrierung für Snowsight implementiert haben, werden außer Kraft gesetzt. Da Benutzer, die sich mit Snowflake OAuth authentifizieren, die Anmeldeschnittstelle Snowsight verwenden, müssen sie bei MFA angemeldet sein. Single Sign-On-Benutzer sind von dieser Änderung nicht betroffen und können weiterhin ohne Änderungen auf Snowsight zugreifen. Benutzer von Legacy-Diensten (`TYPE=LEGACY_SERVICE`) sind von dieser Änderung nicht betroffen und können weiterhin mit einem Ein-Faktor-Kennwort auf Snowsight zugreifen.

Ziel

Neues Verhalten

Obligatorische MFA für alle Snowsight-Benutzer

Menschliche Benutzer müssen sich mit einem zweiten Faktor authentifizieren, wenn sie ein Kennwort für den Zugriff auf Snowsight verwenden, wobei es keine Ausnahmen gibt.

Beachten Sie Folgendes:

Dieser Meilenstein betrifft nur Snowsight. Menschliche Benutzer können weiterhin ein Ein-Faktor-Kennwort verwenden, um von Business Intelligence (BI) und ähnlichen Tools aus auf den Snowflake Service zuzugreifen, auch nachdem sie sich über Snowsight bei MFA angemeldet haben. Sie können sich dafür entscheiden, MFA für diese anderen Tools zu erzwingen; Benutzer, die bereits bei MFA angemeldet sind und MFA außerhalb von Snowsight verwenden, werden weiterhin MFA verwenden.
Authentifizierungsrichtlinien, die eine optionale MFA-Registrierung für Snowsight implementiert haben, werden außer Kraft gesetzt.
Da Benutzer, die sich mit Snowflake OAuth authentifizieren, die Anmeldeschnittstelle Snowsight verwenden, müssen sie bei MFA angemeldet sein.
Single Sign-On-Benutzer sind von dieser Änderung nicht betroffen und können weiterhin ohne Änderungen auf Snowsight zugreifen.
Benutzer von Legacy-Diensten (TYPE=LEGACY_SERVICE) sind von dieser Änderung nicht betroffen und können weiterhin mit einem Ein-Faktor-Kennwort auf Snowsight zugreifen.

Ausführliche Informationen darüber, wie sich die Änderungen in diesem Bundle auf das Kennwort und die SSO-Authentifizierung für Ihre Benutzenden auswirken, finden Sie unter Kommende Erzwingung der mehrstufigen Authentifizierung (MFA) für Snowsight-Anmeldungen mit Einzelfaktor-Kennwörtern (Wissensdatenbankartikel).

Meilenstein 2: Starke Authentifizierung für neue Benutzer¶

Meilenstein 2 wird in den Konten während eines Zeitraums von drei Monaten fortlaufend durchgesetzt. Sie erhalten eine Benachrichtigung mit dem Datum der Durchsetzung für Ihr Konto.

Mai 2026 – Juli 2026 [2]

Ziel	Neues Verhalten
MFA obligatorisch für alle neuen menschlichen Benutzer	Alle menschlichen Benutzer, die nach der Aktivierung dieses Meilensteins erstellt werden, müssen bei der Authentifizierung mit einem Kennwort einen zweiten Faktor verwenden, einschließlich derer, die BI-Tools oder ähnliches verwenden. Menschliche Benutzer, die existierten, bevor der Meilenstein in Kraft tritt, sind nicht betroffen. Diese Kennwortbenutzer können weiterhin BI-Tools oder ähnliches (alles außer Snowsight) ohne einen zweiten Authentifizierungsfaktor bis zum nächsten Meilenstein verwenden. Angenommen, dieser Meilenstein tritt am 15. Mai 2026 in Kraft. Alle menschlichen Benutzer, die an oder nach diesem Datum erstellt werden, müssen unabhängig von der Oberfläche einen zweiten Authentifizierungsfaktor verwenden. Menschliche Benutzer, die vor diesem Datum existierten, können weiterhin die Nur-Kennwort-Authentifizierung für BI-Tools verwenden, aber nicht für Snowsight.
Keine neuen Legacy-Service-Benutzer	Alle nicht-menschlichen Benutzer, die nach der Durchsetzung des Meilensteins erstellt werden, müssen vom Typ `SERVICE` sein, wodurch sie daran gehindert werden, ein Kennwort zu verwenden. Der Typ `LEGACY_SERVICE` ist beim Erstellen eines neuen Benutzerobjekts nicht mehr verfügbar. Darüber hinaus können Administratoren den Typ eines bestehenden Benutzers nicht in `LEGACY_SERVICE` ändern. Angenommen, dieser Meilenstein tritt am 15. Mai 2026 in Kraft. Nach diesem Datum ist `TYPE=LEGACY_SERVICE` beim Ausführen des Befehls CREATE USER oder ALTER USER eine ungültige Option.

Ziel

Neues Verhalten

MFA obligatorisch für alle neuen menschlichen Benutzer

Alle menschlichen Benutzer, die nach der Aktivierung dieses Meilensteins erstellt werden, müssen bei der Authentifizierung mit einem Kennwort einen zweiten Faktor verwenden, einschließlich derer, die BI-Tools oder ähnliches verwenden.

Menschliche Benutzer, die existierten, bevor der Meilenstein in Kraft tritt, sind nicht betroffen. Diese Kennwortbenutzer können weiterhin BI-Tools oder ähnliches (alles außer Snowsight) ohne einen zweiten Authentifizierungsfaktor bis zum nächsten Meilenstein verwenden.

Angenommen, dieser Meilenstein tritt am 15. Mai 2026 in Kraft. Alle menschlichen Benutzer, die an oder nach diesem Datum erstellt werden, müssen unabhängig von der Oberfläche einen zweiten Authentifizierungsfaktor verwenden. Menschliche Benutzer, die vor diesem Datum existierten, können weiterhin die Nur-Kennwort-Authentifizierung für BI-Tools verwenden, aber nicht für Snowsight.

Keine neuen Legacy-Service-Benutzer

Alle nicht-menschlichen Benutzer, die nach der Durchsetzung des Meilensteins erstellt werden, müssen vom Typ SERVICE sein, wodurch sie daran gehindert werden, ein Kennwort zu verwenden. Der Typ LEGACY_SERVICE ist beim Erstellen eines neuen Benutzerobjekts nicht mehr verfügbar. Darüber hinaus können Administratoren den Typ eines bestehenden Benutzers nicht in LEGACY_SERVICE ändern.

Angenommen, dieser Meilenstein tritt am 15. Mai 2026 in Kraft. Nach diesem Datum ist TYPE=LEGACY_SERVICE beim Ausführen des Befehls CREATE USER oder ALTER USER eine ungültige Option.

Meilenstein 3: Starke Authentifizierung für alle Benutzer¶

Meilenstein 3 wird in den Konten während eines Zeitraums von drei Monaten fortlaufend durchgesetzt. Sie erhalten eine Benachrichtigung mit dem Datum der Durchsetzung für Ihr Konto.

August 2026 – Oktober 2026 [3]

Ziel	Neues Verhalten
MFA obligatorisch für alle menschlichen Benutzer	Wenn dieser Meilenstein in Kraft tritt, müssen alle neuen und bestehenden menschlichen Benutzer bei der Authentifizierung mit einem Kennwort einen zweiten Faktor verwenden, ohne Ausnahme.
Keine Legacy-Service-Benutzer	Wenn dieser Meilenstein in Kraft tritt, werden alle nicht-menschlichen Benutzer daran gehindert, ein Kennwort zur Authentifizierung zu verwenden. Der Benutzertyp `LEGACY_SERVICE` wird vollständig aufgelassen. Alle bestehenden Benutzer-Objekte mit `TYPE=LEGACY_SERVICE` werden auf `TYPE=SERVICE` migriert. Dadurch können sie kein Kennwort mehr verwenden.

Ziel

Neues Verhalten

MFA obligatorisch für alle menschlichen Benutzer

Wenn dieser Meilenstein in Kraft tritt, müssen alle neuen und bestehenden menschlichen Benutzer bei der Authentifizierung mit einem Kennwort einen zweiten Faktor verwenden, ohne Ausnahme.

Keine Legacy-Service-Benutzer

Wenn dieser Meilenstein in Kraft tritt, werden alle nicht-menschlichen Benutzer daran gehindert, ein Kennwort zur Authentifizierung zu verwenden.

Der Benutzertyp LEGACY_SERVICE wird vollständig aufgelassen. Alle bestehenden Benutzer-Objekte mit TYPE=LEGACY_SERVICE werden auf TYPE=SERVICE migriert. Dadurch können sie kein Kennwort mehr verwenden.