Planifier l’abandon de la connexion par mot de passe à facteur unique¶

To improve the security posture of all of its customers, Snowflake is rolling out changes to require multi-factor authentication (MFA) for all human users using passwords, and disallow passwords for all service users. This topic describes how single-factor password sign-ins will be deprecated so you can plan accordingly.

Important

En octobre 2025, Snowflake a simplifié la chronologie présentée dans cette rubrique. Le nouveau calendrier consolide les étapes initiales et prolonge la date d’application finale d’août 2026 à octobre 2026. Ce changement rationalise le processus d’adoption de l’authentification multifactorielle (MFA) et ont été conçus en réponse aux commentaires directs des clients concernant la complexité du respect des délais d’étapes initiaux.

Cette planification révisée donne à votre organisation plus de temps et de clarté pour planifier la migration de vos charges de travail actuelles qui reposent sur des mots de passe. Cela vous donne également la possibilité d’adopter nos améliorations de sécurité récemment publiées et conçues pour faciliter votre transition. Ces améliorations de sécurité comprennent la fédération d’identités de charge de travail pour l’authentification sans secret de vos charges de travail de service et les codes d’accès à usage unique (OTP) comme nouvelle méthode MFA pour vos scénarios de situation d’urgence.

The deprecation process described in this topic does not apply to reader accounts or trial accounts. You can continue to sign in to these types of accounts with a single-factor password.

Utilisateurs humains et utilisateurs services¶

Les objets utilisateur dans Snowflake ne correspondent pas toujours à des utilisateurs humains. Certains utilisateurs se connectent à Snowflake sans interaction humaine - par exemple, une application ou un service. Ces utilisateurs sont considérés comme des utilisateurs services.

Les administrateurs utilisent le paramètre TYPE d’un objet utilisateur pour définir si un utilisateur est un utilisateur humain ou un utilisateur service.

Pour les utilisateurs humains, TYPE=PERSON. Si vous ne définissez pas le paramètre TYPE ou si vous lui attribuez la valeur NULL, l’utilisateur est traité comme un utilisateur humain.
Pour les utilisateurs services, TYPE=SERVICE.

Note

Le type d’utilisateur LEGACY_SERVICE aide les clients à faire passer les utilisateurs service à une forme d’authentification sécurisée. Le fait de définir un type d’utilisateur sur LEGACY_SERVICE permet temporairement à l’utilisateur de s’authentifier avec un mot de passe même s’il s’agit d’une application ou d’un service. Le déploiement décrit dans cette rubrique implique l’obsolescence progressive de ce type d’utilisateur.

La distinction entre un utilisateur humain et un utilisateur service est importante car ce déploiement affecte différemment ces deux types d’utilisateurs. Afin de renforcer la sécurité pour les deux types d’utilisateurs, l’obsolescence de la connexion par mot de passe à facteur unique se comporte comme suit :

All human users who use password authentication will be required to use a second factor of authentication.
All legacy service users who currently use password authentication will be required to migrate to a more secure authentication method.

Calendrier d’obsolescence¶

Le tableau suivant fournit le calendrier de l’obsolescence de la connexion par mot de passe à facteur unique.

Date estimée	Utilisateurs concernés	Étape
Septembre 2025 - Janvier 2026	Utilisateurs humains	MFA obligatoire pour tous les utilisateurs de Snowsight
Mai 2026 - Juillet 2026	Utilisateurs humains Legacy service users	Strong authentication for NEW users
Aug. 2026 - Oct. 2026	Utilisateurs humains Legacy service users	Strong authentication for ALL users

Milestone 1: Mandatory MFA for all Snowsight users (new and existing)¶

Milestone 1 is implemented using Snowflake’s established behavior change release process. In this process, Snowflake releases a behavior change bundle each month. Because changes will be included in a behavior change bundle, enforcement of the new restrictions coincide with the lifecycle of the bundle.

For more information about the lifecycle of behavior change bundles so you can plan for the enforcement of this milestone, see Politique de changement de comportement.

2025_06 bundle (September 2025 - January 2026) [1]

Objectif	Nouveau comportement
Obligatoire MFA pour tous les utilisateurs de Snowsight	Les utilisateurs humains doivent s’authentifier avec un deuxième facteur lorsqu’ils utilisent un mot de passe pour accéder à Snowsight, sans aucune exception. Gardez à l’esprit les points suivants : Cette étape concerne uniquement Snowsight. Les utilisateurs humains peuvent continuer à utiliser un mot de passe à facteur unique pour accéder au service Snowflake à partir d’outils d’aide à la décision (BI) et d’outils similaires, même après avoir utilisé Snowsight pour s’inscrire à la MFA. Vous pouvez choisir d’appliquer la MFA à ces autres outils ; les utilisateurs qui sont déjà inscrits à la MFA et qui utilisent la MFA en dehors de Snowsight continueront d’utiliser la MFA. Les politiques d’authentification qui ont mis en place l’inscription facultative à la MFA pour Snowsight sont annulées. Comme les utilisateurs qui s’authentifient avec Snowflake OAuth utilisent l’interface de connexion Snowsight, ils doivent être inscrits à la MFA. Les utilisateurs de l’authentification unique ne sont pas concernés par ce changement et peuvent continuer à accéder à Snowsight sans modification. Les utilisateurs service hérités (`TYPE=LEGACY_SERVICE`) ne sont pas concernés par ce changement et peuvent continuer à accéder à Snowsight à l’aide d’un mot de passe à facteur unique.

Objectif

Nouveau comportement

Obligatoire MFA pour tous les utilisateurs de Snowsight

Les utilisateurs humains doivent s’authentifier avec un deuxième facteur lorsqu’ils utilisent un mot de passe pour accéder à Snowsight, sans aucune exception.

Gardez à l’esprit les points suivants :

Cette étape concerne uniquement Snowsight. Les utilisateurs humains peuvent continuer à utiliser un mot de passe à facteur unique pour accéder au service Snowflake à partir d’outils d’aide à la décision (BI) et d’outils similaires, même après avoir utilisé Snowsight pour s’inscrire à la MFA. Vous pouvez choisir d’appliquer la MFA à ces autres outils ; les utilisateurs qui sont déjà inscrits à la MFA et qui utilisent la MFA en dehors de Snowsight continueront d’utiliser la MFA.
Les politiques d’authentification qui ont mis en place l’inscription facultative à la MFA pour Snowsight sont annulées.
Comme les utilisateurs qui s’authentifient avec Snowflake OAuth utilisent l’interface de connexion Snowsight, ils doivent être inscrits à la MFA.
Les utilisateurs de l’authentification unique ne sont pas concernés par ce changement et peuvent continuer à accéder à Snowsight sans modification.
Les utilisateurs service hérités (TYPE=LEGACY_SERVICE) ne sont pas concernés par ce changement et peuvent continuer à accéder à Snowsight à l’aide d’un mot de passe à facteur unique.

Pour des informations détaillées sur la manière dont les modifications de ce bundle affectent les mots de passe et l’authentification SSO pour vos utilisateurs, voir Application à venir de l’authentification multifactorielle (MFA) pour les connexions Snowsight avec des mots de passe à un seul facteur (article de la base de connaissances).

Étape 2 : authentification forte pour les nouveaux utilisateurs¶

L’étape 2 sera appliquée dans les comptes de manière progressive pendant une période de trois mois. Vous recevrez une notification avec la date d’application pour votre compte.

May 2026 - July 2026 [2]

Objectif	Nouveau comportement
Mandatory MFA for all new human users	All human users that are created after this milestone is enforced must use a second factor when authenticating with a password, including those using BI tools or similar. Human users who existed before the milestone is enforced are not affected. These password users can continue to use BI tools or similar (anything but Snowsight) without a second factor of authentication until the next milestone. For example, suppose this milestone is enforced on May 15, 2026. All human users created on or after this date must use a second factor of authentication regardless of the surface. Human users who existed before this date can continue to use password-only authentication for BI tools, but not Snowsight.
No new legacy service users	All non-human users created after the milestone is enforced must be of type `SERVICE`, which prevents them from using a password. The `LEGACY_SERVICE` type is no longer available when creating a new user object. In addition, administrators cannot change the type of an existing user to `LEGACY_SERVICE`. For example, suppose this milestone is enforced on May 15, 2026. After this date, `TYPE=LEGACY_SERVICE` is an invalid option when executing a CREATE USER or ALTER USER command.

Objectif

Nouveau comportement

Mandatory MFA for all new human users

All human users that are created after this milestone is enforced must use a second factor when authenticating with a password, including those using BI tools or similar.

Human users who existed before the milestone is enforced are not affected. These password users can continue to use BI tools or similar (anything but Snowsight) without a second factor of authentication until the next milestone.

For example, suppose this milestone is enforced on May 15, 2026. All human users created on or after this date must use a second factor of authentication regardless of the surface. Human users who existed before this date can continue to use password-only authentication for BI tools, but not Snowsight.

No new legacy service users

All non-human users created after the milestone is enforced must be of type SERVICE, which prevents them from using a password. The LEGACY_SERVICE type is no longer available when creating a new user object. In addition, administrators cannot change the type of an existing user to LEGACY_SERVICE.

For example, suppose this milestone is enforced on May 15, 2026. After this date, TYPE=LEGACY_SERVICE is an invalid option when executing a CREATE USER or ALTER USER command.

Étape 3 : authentification forte pour tous les utilisateurs¶

L’étape 3 sera appliquée dans les comptes de manière progressive pendant une période de trois mois. Vous recevrez une notification avec la date d’application pour votre compte.

Août 2026 - Octobre 2026 [3]

Objectif	Nouveau comportement
Mandatory MFA for all human users	When this milestone is enforced, all new and existing human users must use a second factor when authenticating with a password, with no exceptions.
No legacy service users	When this milestone is enforced, all non-human users are blocked from using a password to authenticate. Le type d’utilisateur `LEGACY_SERVICE` est totalement obsolète. Tous les objets utilisateurs existants avec `TYPE=LEGACY_SERVICE` sont migrés vers `TYPE=SERVICE`, ce qui les empêche d’utiliser un mot de passe.

Objectif

Nouveau comportement

Mandatory MFA for all human users

When this milestone is enforced, all new and existing human users must use a second factor when authenticating with a password, with no exceptions.

No legacy service users

When this milestone is enforced, all non-human users are blocked from using a password to authenticate.

Le type d’utilisateur LEGACY_SERVICE est totalement obsolète. Tous les objets utilisateurs existants avec TYPE=LEGACY_SERVICE sont migrés vers TYPE=SERVICE, ce qui les empêche d’utiliser un mot de passe.