Planejamento para a descontinuidade dos logins com senha de fator único¶

Para melhorar a postura de segurança de todos os seus clientes, a Snowflake está implementando mudanças para exigir autenticação multifator (MFA) para todos os usuários humanos que usam senhas e proibir senhas para todos os usuários de serviços. Essas mudanças serão implementadas em várias versões de mudança de comportamento (BCRs). Este tópico descreve como os logins com senha de fator único serão descontinuados para que você possa se planejar adequadamente.

Nota

O processo de descontinuação descrito neste tópico não se aplica a contas de leitor, contas do Open Catalog e contas de teste. Você pode continuar fazendo login nesses tipos de conta com uma senha de fator único.

Compreensão do processo de implementação¶

A implementação da descontinuação de logins com senha de fator único está dividida em várias etapas.

Cada etapa é implementada usando o processo do lançamento de mudança de comportamento estabelecida pela Snowflake. Nesse processo, a Snowflake lança um pacote de mudança de comportamento todos os meses. Como as mudanças serão incluídas em um pacote de mudança de comportamento, a aplicação das novas restrições coincidirá com o ciclo de vida do pacote.

Para obter mais informações sobre o ciclo de vida dos pacotes de mudança de comportamento, para que você possa planejar a aplicação de cada etapa, consulte Política de mudança de comportamento.

Usuários humanos vs. usuários de serviços¶

Os objetos de usuário no Snowflake nem sempre correspondem a usuários humanos. Há usuários que se conectam ao Snowflake sem interação humana – por exemplo, um aplicativo ou serviço. Esses usuários são considerados usuários de serviço.

Os administradores usam o parâmetro TYPE de um objeto de usuário para definir se um usuário é um usuário humano ou um usuário de serviço.

Para usuários humanos, TYPE=PERSON. Se você não definir o parâmetro TYPE ou defini-lo como NULL, o usuário será tratado como um usuário humano.
Para usuários de serviço, TYPE=SERVICE.

Nota

O tipo de usuário LEGACY_SERVICE ajuda os clientes a fazer a transição dos usuários de serviço para o uso de uma forma segura de autenticação. Definir o tipo de usuário como LEGACY_SERVICE permite temporariamente que o usuário se autentique com uma senha, mesmo que seja um aplicativo ou serviço. A implementação descrita neste tópico envolve a eliminação gradual desse tipo de usuário.

A distinção entre um usuário humano e um usuário de serviço é importante porque essa implementação afeta esses dois tipos de usuários de forma diferente. Para reforçar a postura de segurança para ambos os tipos de usuários, a descontinuação dos logins com senha de fator único consiste no seguinte:

Todos os usuários humanos que usam autenticação por senha deverão usar um segundo fator de autenticação. Para ver um cronograma que descreve como a Snowflake atingirá essa meta, consulte Marcos para usuários humanos.
Todos os usuários de serviço que atualmente usam autenticação por senha deverão migrar para um método de autenticação mais seguro. Para ver um cronograma que descreve como a Snowflake atingirá essa meta, consulte Etapas para usuários de serviços.

Cronograma de descontinuação¶

A tabela a seguir fornece a linha do tempo para a descontinuação dos logins com senha de fator único.

Data estimada	Usuários afetados	Etapa
Jun 2025–ago 2025	Usuários humanos	MFA obrigatória para todos os usuários do Snowsight
Ago 2025–out 2025	Usuários humanos	MFA obrigatória para todos os novos usuários humanos
Nov 2025–jan 2026	Usuários do serviço	Não há novos usuários de serviços legados
Mar 2026–mai 2026	Usuários humanos	MFA obrigatória para todos os usuários humanos
Jun 2026–ago 2026	Usuários do serviço	Nenhum usuário de serviço legado

Marcos para usuários humanos¶

Objetivo: todos os usuários humanos que se autenticam com senhas devem usar um segundo fator de autenticação.

A implementação para atingir essa meta consiste nas seguintes etapas. Cada etapa começa com o lançamento de um pacote de mudança de comportamento (ou seja, o período de teste começa) e termina quando o pacote se torna geralmente habilitado. As restrições associadas à etapa são aplicadas assim que o pacote é ativado.

Pacote 2025_04 (junho de 2025–agosto de 2025) [1] : MFA obrigatória para todos os usuários do Snowsight (novos e existentes)

Os usuários humanos devem se autenticar com um segundo fator ao usar uma senha para acessar o Snowsight, sem exceções.

Tenha em mente o seguinte:

Esta etapa afeta apenas o Snowsight. Os usuários humanos podem continuar usando uma senha de fator único para acessar o serviço Snowflake a partir do business intelligence (BI) e de ferramentas semelhantes, mesmo depois de usarem o Snowsight para se inscreverem em MFA. Você pode optar por aplicar MFA para essas outras ferramentas; os usuários que já estão inscritos em MFA e usam MFA fora do Snowsight continuarão usando MFA.
As políticas de autenticação que implementaram o registro opcional em MFA para o Snowsight são substituídas.
Como os usuários que se autenticam no Snowflake OAuth usam a interface de login do Snowsight, eles devem estar inscritos em MFA.
Os usuários de login único não são afetados por essa alteração e podem continuar acessando o Snowsight sem alterações.
Os usuários do serviço legado (TYPE=LEGACY_SERVICE) não são afetados por essa alteração e podem continuar acessando o Snowsight com uma senha de fator único.

Pacote 2025_07 (agosto de 2025–outubro de 2025) [1] : MFA obrigatória para todos os novos usuários humanos

Todos os usuários humanos criados após a ativação do pacote de mudança de comportamento devem se autenticar com um segundo fator, inclusive aqueles que usam ferramentas de BI ou similares.

Os usuários humanos que existiam antes de o pacote ter sido ativado não são afetados. Esses usuários de senha podem continuar a usar as ferramentas de BI ou similares (tudo menos o Snowsight) sem um segundo fator de autenticação até março de 2026.

Por exemplo, suponha que seu administrador opte pelo pacote de mudança de comportamento associado a essa etapa em 10 de setembro de 2025. Todos os usuários humanos criados a partir dessa data devem usar um segundo fator de autenticação, independentemente da superfície. Os usuários humanos que existiam antes dessa data podem continuar usando a autenticação somente com senha para as ferramentas de BI, mas não para o Snowsight.

Pacote a ser anunciado (março de 2026–maio de 2026) [1] : MFA obrigatória para todos os usuários humanos (sem exceções): Quando o pacote de mudança de comportamento associado a essa etapa é ativado, todos os usuários humanos novos e existentes devem usar um segundo fator ao se autenticarem com uma senha, sem exceções.

Etapas para usuários de serviços¶

Meta: todos os usuários do serviço devem usar uma forma segura de autenticação.

A implementação para atingir essa meta consiste nas seguintes etapas. Cada etapa começa com o lançamento de um pacote de mudança de comportamento e termina quando o pacote se torna geralmente habilitado. As restrições associadas à etapa são aplicadas assim que o pacote é ativado.

Os usuários com TYPE=SERVICE não podem usar autenticação por senha, sem exceções. Para permitir temporariamente que serviços e aplicativos se autentiquem com uma senha, o Snowflake forneceu o tipo de usuário LEGACY_SERVICE. O abandono dos logins de senha de fator único se concentra na eliminação gradual desse tipo de usuário LEGACY_SERVICE, de modo que todos os usuários não humanos devem ser do tipo SERVICE.

Pacote a ser anunciado (novembro de 2025–janeiro de 2026) [2] : Sem novos usuários de serviço legado

Todos os usuários não humanos criados após a ativação do pacote de mudança de comportamento devem ser do tipo SERVICE, o que os impede de usar uma senha. O tipo LEGACY_SERVICE não está mais disponível ao criar um novo objeto de usuário. Além disso, os administradores não podem alterar o tipo de um usuário existente para LEGACY_SERVICE.

Por exemplo, suponha que seu administrador opte pelo pacote de mudança de comportamento associado a essa etapa em 10 de dezembro de 2025. Após essa data, TYPE=LEGACY_SERVICE é uma opção inválida ao executar um comando CREATE USER ou ALTER USER.

Pacote a ser anunciado (junho de 2026–agosto de 2026) [2] : Nenhum usuário de serviço legado

Quando o pacote de mudança de comportamento associado a essa etapa é ativado, todos os usuários não humanos são impedidos de usar uma senha para autenticação.

O tipo de usuário LEGACY_SERVICE está totalmente descontinuado. Todos os objetos de usuário existentes com TYPE=LEGACY_SERVICE são migrados para TYPE=SERVICE, o que impede que eles usem uma senha.

Exigência de MFA antes do previsto no cronograma¶

Dada a segurança aprimorada associada à prevenção de logins com senha de fator único, você pode decidir implementá-la antes dos prazos fornecidos neste tópico. Esta seção descreve como aplicar restrições sem esperar que a distribuição seja concluída.

A implementação de MFA obrigatória diferencia entre o Snowsight e outras superfícies, e entre usuários novos e existentes. Você pode usar uma política de autenticação personalizada para aplicar imediatamente a MFA para todos os usuários humanos em todos os tipos de cliente sem esperar a conclusão do processo de implementação.

Você deve definir cuidadosamente todos os parâmetros da nova política de autenticação, mas, no mínimo, ela deve conter os seguintes parâmetros para atingir a meta de impedir logins com senha de fator único:

CREATE AUTHENTICATION POLICY require_mfa_policy
  MFA_AUTHENTICATION_METHODS = ('PASSWORD')
  MFA_ENROLLMENT = REQUIRED;

Copy

Para obter mais informações sobre esses parâmetros, consulte CREATE AUTHENTICATION POLICY.

Para definir a política de autenticação da conta de modo que ela governe a autenticação de todos os usuários humanos, execute as seguintes instruções:

USE ROLE ACCOUNTADMIN;
ALTER ACCOUNT SET AUTHENTICATION POLICY require_mfa_policy;

Copy

Inscrição na autenticação multifator¶

Para obter informações sobre como os usuários se inscrevem voluntariamente em MFA, consulte Inscrição na autenticação multifator (MFA).