Planung für die Abschaffung der Anmeldung mit Ein-Faktor-Kennwort¶

To improve the security posture of all of its customers, Snowflake is rolling out changes to require multi-factor authentication (MFA) for all human users using passwords, and disallow passwords for all service users. This topic describes how single-factor password sign-ins will be deprecated so you can plan accordingly.

Wichtig

Im Oktober 2025 hat Snowflake den unter diesem Thema behandelten Zeitrahmen vereinfacht. Der neue Zeitrahmen konsolidiert die ersten Meilensteine und verlängert das endgültige Durchsetzungsdatum von August 2026 auf Oktober 2026. Diese Änderung vereinfacht den MFA-Einführungsprozess und wurde als Reaktion auf das direkte Feedback der Kunden hinsichtlich der Komplexität der Einhaltung der ursprünglichen Meilenstein-Zeitpläne erstellt.

Dieser überarbeitete Zeitrahmen bietet Ihrem Unternehmen mehr Zeit und Übersichtlichkeit, um die Migration Ihrer aktuellen Workloads zu planen, die auf Kennwörter angewiesen sind. Außerdem haben Sie die Möglichkeit, unsere kürzlich veröffentlichten Sicherheitsverbesserungen zu übernehmen, die Ihnen die Umstellung erleichtern sollen. Zu diesen Sicherheitsverbesserungen gehören Workload Identity Federation zur Authentifizierung Ihrer Service-Workloads ohne Geheimschlüssel und Einmalkennungen (OTP) als neue MFA-Methode für Ihre Firewall-Szenarios.

The deprecation process described in this topic does not apply to reader accounts or trial accounts. You can continue to sign in to these types of accounts with a single-factor password.

Menschliche Benutzer vs. Service-Benutzer¶

Die Benutzerobjekte in Snowflake entsprechen nicht immer den menschlichen Benutzern. Es gibt Benutzer, die sich ohne menschliche Interaktion bei Snowflake anmelden — zum Beispiel eine Anwendung oder ein Dienst. Diese Benutzer werden als Service-Benutzer betrachtet.

Administratoren verwenden den Parameter TYPE eines Benutzerobjekts, um festzulegen, ob ein Benutzer ein menschlicher Benutzer oder ein Service-Benutzer ist.

Für menschliche Benutzer: TYPE=PERSON. Wenn Sie den Parameter TYPE nicht setzen oder ihn auf NULL setzen, wird der Benutzer wie ein menschlicher Benutzer behandelt.
Für Service-Benutzer, TYPE=SERVICE.

Bemerkung

Der Benutzertyp LEGACY_SERVICE hilft Kunden bei der Umstellung von Service-Benutzern auf eine sichere Form der Authentifizierung. Wenn Sie den Typ eines Benutzers vorübergehend auf LEGACY_SERVICE setzen, kann sich der Benutzer mit einem Kennwort authentifizieren, obwohl es sich um eine Anwendung oder einen Dienst handelt. Der in diesem Thema beschriebene Rollout beinhaltet die schrittweise Abschaffung dieses Benutzertyps.

Die Unterscheidung zwischen einem menschlichen Benutzer und einem Service-Benutzer ist wichtig, da diese beiden Arten von Benutzern von der Einführung unterschiedlich betroffen sind. Um die Sicherheitslage für beide Arten von Benutzern zu verbessern, wird die Anmeldung mit Ein-Faktor-Kennwort wie folgt abgeschafft:

All human users who use password authentication will be required to use a second factor of authentication.
All legacy service users who currently use password authentication will be required to migrate to a more secure authentication method.

Zeitplan für die Abschaffung¶

In der folgenden Tabelle finden Sie den Zeitplan für die Abschaffung der Anmeldung mit Ein-Faktor-Kennwort.

Geschätztes Datum	Betroffene Benutzer	Meilenstein
Sep. 2025 bis Jan. 2026	Menschliche Benutzer	Obligatorische MFA für alle Benutzer von Snowsight
Mai 2026 – Juli 2026	Menschliche Benutzer Legacy service users	Strong authentication for NEW users
Aug. 2026 - Oct. 2026	Menschliche Benutzer Legacy service users	Strong authentication for ALL users

Milestone 1: Mandatory MFA for all Snowsight users (new and existing)¶

Milestone 1 is implemented using Snowflake’s established behavior change release process. In this process, Snowflake releases a behavior change bundle each month. Because changes will be included in a behavior change bundle, enforcement of the new restrictions coincide with the lifecycle of the bundle.

For more information about the lifecycle of behavior change bundles so you can plan for the enforcement of this milestone, see Richtlinie für Verhaltensänderungen.

2025_06 bundle (September 2025 - January 2026) [1]

Ziel	Neues Verhalten
Obligatorische MFA für alle Snowsight-Benutzer	Menschliche Benutzer müssen sich mit einem zweiten Faktor authentifizieren, wenn sie ein Kennwort für den Zugriff auf Snowsight verwenden, wobei es keine Ausnahmen gibt. Beachten Sie Folgendes: Dieser Meilenstein betrifft nur Snowsight. Menschliche Benutzer können weiterhin ein Ein-Faktor-Kennwort verwenden, um von Business Intelligence (BI) und ähnlichen Tools aus auf den Snowflake Service zuzugreifen, auch nachdem sie sich über Snowsight bei MFA angemeldet haben. Sie können sich dafür entscheiden, MFA für diese anderen Tools zu erzwingen; Benutzer, die bereits bei MFA angemeldet sind und MFA außerhalb von Snowsight verwenden, werden weiterhin MFA verwenden. Authentifizierungsrichtlinien, die eine optionale MFA-Registrierung für Snowsight implementiert haben, werden außer Kraft gesetzt. Da Benutzer, die sich mit Snowflake OAuth authentifizieren, die Anmeldeschnittstelle Snowsight verwenden, müssen sie bei MFA angemeldet sein. Single Sign-On-Benutzer sind von dieser Änderung nicht betroffen und können weiterhin ohne Änderungen auf Snowsight zugreifen. Benutzer von Legacy-Diensten (`TYPE=LEGACY_SERVICE`) sind von dieser Änderung nicht betroffen und können weiterhin mit einem Ein-Faktor-Kennwort auf Snowsight zugreifen.

Ziel

Neues Verhalten

Obligatorische MFA für alle Snowsight-Benutzer

Menschliche Benutzer müssen sich mit einem zweiten Faktor authentifizieren, wenn sie ein Kennwort für den Zugriff auf Snowsight verwenden, wobei es keine Ausnahmen gibt.

Beachten Sie Folgendes:

Dieser Meilenstein betrifft nur Snowsight. Menschliche Benutzer können weiterhin ein Ein-Faktor-Kennwort verwenden, um von Business Intelligence (BI) und ähnlichen Tools aus auf den Snowflake Service zuzugreifen, auch nachdem sie sich über Snowsight bei MFA angemeldet haben. Sie können sich dafür entscheiden, MFA für diese anderen Tools zu erzwingen; Benutzer, die bereits bei MFA angemeldet sind und MFA außerhalb von Snowsight verwenden, werden weiterhin MFA verwenden.
Authentifizierungsrichtlinien, die eine optionale MFA-Registrierung für Snowsight implementiert haben, werden außer Kraft gesetzt.
Da Benutzer, die sich mit Snowflake OAuth authentifizieren, die Anmeldeschnittstelle Snowsight verwenden, müssen sie bei MFA angemeldet sein.
Single Sign-On-Benutzer sind von dieser Änderung nicht betroffen und können weiterhin ohne Änderungen auf Snowsight zugreifen.
Benutzer von Legacy-Diensten (TYPE=LEGACY_SERVICE) sind von dieser Änderung nicht betroffen und können weiterhin mit einem Ein-Faktor-Kennwort auf Snowsight zugreifen.

Ausführliche Informationen darüber, wie sich die Änderungen in diesem Bundle auf das Kennwort und die SSO-Authentifizierung für Ihre Benutzenden auswirken, finden Sie unter Kommende Erzwingung der mehrstufigen Authentifizierung (MFA) für Snowsight-Anmeldungen mit Einzelfaktor-Kennwörtern (Wissensdatenbankartikel).

Meilenstein 2: Starke Authentifizierung für neue Benutzer¶

Meilenstein 2 wird in den Konten während eines Zeitraums von drei Monaten fortlaufend durchgesetzt. Sie erhalten eine Benachrichtigung mit dem Datum der Durchsetzung für Ihr Konto.

May 2026 - July 2026 [2]

Ziel	Neues Verhalten
Mandatory MFA for all new human users	All human users that are created after this milestone is enforced must use a second factor when authenticating with a password, including those using BI tools or similar. Human users who existed before the milestone is enforced are not affected. These password users can continue to use BI tools or similar (anything but Snowsight) without a second factor of authentication until the next milestone. For example, suppose this milestone is enforced on May 15, 2026. All human users created on or after this date must use a second factor of authentication regardless of the surface. Human users who existed before this date can continue to use password-only authentication for BI tools, but not Snowsight.
No new legacy service users	All non-human users created after the milestone is enforced must be of type `SERVICE`, which prevents them from using a password. The `LEGACY_SERVICE` type is no longer available when creating a new user object. In addition, administrators cannot change the type of an existing user to `LEGACY_SERVICE`. For example, suppose this milestone is enforced on May 15, 2026. After this date, `TYPE=LEGACY_SERVICE` is an invalid option when executing a CREATE USER or ALTER USER command.

Ziel

Neues Verhalten

Mandatory MFA for all new human users

All human users that are created after this milestone is enforced must use a second factor when authenticating with a password, including those using BI tools or similar.

Human users who existed before the milestone is enforced are not affected. These password users can continue to use BI tools or similar (anything but Snowsight) without a second factor of authentication until the next milestone.

For example, suppose this milestone is enforced on May 15, 2026. All human users created on or after this date must use a second factor of authentication regardless of the surface. Human users who existed before this date can continue to use password-only authentication for BI tools, but not Snowsight.

No new legacy service users

All non-human users created after the milestone is enforced must be of type SERVICE, which prevents them from using a password. The LEGACY_SERVICE type is no longer available when creating a new user object. In addition, administrators cannot change the type of an existing user to LEGACY_SERVICE.

For example, suppose this milestone is enforced on May 15, 2026. After this date, TYPE=LEGACY_SERVICE is an invalid option when executing a CREATE USER or ALTER USER command.

Meilenstein 3: Starke Authentifizierung für alle Benutzer¶

Meilenstein 3 wird in den Konten während eines Zeitraums von drei Monaten fortlaufend durchgesetzt. Sie erhalten eine Benachrichtigung mit dem Datum der Durchsetzung für Ihr Konto.

August 2026 – Oktober 2026 [3]

Ziel	Neues Verhalten
Mandatory MFA for all human users	When this milestone is enforced, all new and existing human users must use a second factor when authenticating with a password, with no exceptions.
No legacy service users	When this milestone is enforced, all non-human users are blocked from using a password to authenticate. Der Benutzertyp `LEGACY_SERVICE` wird vollständig aufgelassen. Alle bestehenden Benutzer-Objekte mit `TYPE=LEGACY_SERVICE` werden auf `TYPE=SERVICE` migriert. Dadurch können sie kein Kennwort mehr verwenden.

Ziel

Neues Verhalten

Mandatory MFA for all human users

When this milestone is enforced, all new and existing human users must use a second factor when authenticating with a password, with no exceptions.

No legacy service users

When this milestone is enforced, all non-human users are blocked from using a password to authenticate.

Der Benutzertyp LEGACY_SERVICE wird vollständig aufgelassen. Alle bestehenden Benutzer-Objekte mit TYPE=LEGACY_SERVICE werden auf TYPE=SERVICE migriert. Dadurch können sie kein Kennwort mehr verwenden.