Planejamento para a descontinuidade dos logins com senha de fator único¶

Para melhorar a postura de segurança de todos os seus clientes, a Snowflake está implementando mudanças para exigir a autenticação multifator (MFA) para todos os usuários humanos que usam senhas e proibir senhas para todos os usuários do serviço. Este tópico descreve como os logins com senhas de fator único serão descontinuados para que você possa se planejar adequadamente.

Importante

Em outubro de 2025, a Snowflake simplificou a linha do tempo discutida neste tópico. O novo cronograma consolida as etapas iniciais e estende a data final de implementação de agosto de 2026 para outubro de 2026. Essa mudança simplifica o processo de adoção de MFA e foi feita em resposta ao feedback direto de clientes em relação à complexidade de cumprir os cronogramas com as etapas originais.

Este cronograma revisado oferece à sua organização mais tempo e clareza para planejar a migração de suas cargas de trabalho atuais que dependem de senhas. Ele também lhe dá a oportunidade de adotar as melhorias de segurança que lançamos recentemente, projetadas para facilitar sua transição. Essas melhorias de segurança incluem federação de identidade de carga de trabalho para autenticação sem segredo das cargas de trabalho de serviço e códigos de acesso únicos (OTP) como um novo método MFA para seus cenários de delimitação.

O processo de descontinuação descrito neste tópico não se aplica às contas de leitor ou às contas de avaliação. Você pode continuar acessando esses tipos de contas com uma senha de fator único.

Usuários humanos vs. usuários de serviços¶

Os objetos de usuário no Snowflake nem sempre correspondem a usuários humanos. Há usuários que se conectam ao Snowflake sem interação humana – por exemplo, um aplicativo ou serviço. Esses usuários são considerados usuários de serviço.

Os administradores usam o parâmetro TYPE de um objeto de usuário para definir se um usuário é um usuário humano ou um usuário de serviço.

Para usuários humanos, TYPE=PERSON. Se você não definir o parâmetro TYPE ou defini-lo como NULL, o usuário será tratado como um usuário humano.
Para usuários de serviço, TYPE=SERVICE.

Nota

O tipo de usuário LEGACY_SERVICE ajuda os clientes a fazer a transição dos usuários de serviço para o uso de uma forma segura de autenticação. Definir o tipo de usuário como LEGACY_SERVICE permite temporariamente que o usuário se autentique com uma senha, mesmo que seja um aplicativo ou serviço. A implementação descrita neste tópico envolve a eliminação gradual desse tipo de usuário.

A distinção entre um usuário humano e um usuário de serviço é importante porque essa implementação afeta esses dois tipos de usuários de forma diferente. Para reforçar a postura de segurança para ambos os tipos de usuários, a descontinuação dos logins com senha de fator único consiste no seguinte:

Todos os usuários humanos que usam autenticação de senha serão obrigados a usar um segundo fator de autenticação.
Todos os usuários de serviços legados que atualmente usam autenticação de senha serão obrigados a migrar para um método de autenticação mais seguro.

Cronograma de descontinuação¶

A tabela a seguir fornece a linha do tempo para a descontinuação dos logins com senha de fator único.

Data estimada	Usuários afetados	Etapa
Setembro de 2025 a janeiro 2026	Usuários humanos	MFA obrigatória para todos os usuários do Snowsight
Maio de 2026 a julho de 2026	Usuários humanos Usuários de serviços legados	Autenticação forte para usuários NEW
Agosto de 2026 a outubro de 2026	Usuários humanos Usuários de serviços legados	Autenticação forte para usuários ALL

Etapa 1: MFA obrigatório para todos os usuários Snowsight (novos e existentes)¶

A Etapa 1 é implementada usando o processo de lançamento de mudança de comportamento estabelecido da Snowflake. Nesse processo, a Snowflake lança um pacote de mudança de comportamento a cada mês. Como as mudanças serão incluídas em um pacote de mudança de comportamento, a aplicação das novas restrições coincide com o ciclo de vida do pacote.

Para mais informações sobre o ciclo de vida dos pacotes de mudança de comportamento para que você possa planejar a execução dessa etapa, consulte Política de mudança de comportamento.

Pacote 2025_06 (setembro de 2025 a janeiro de 2026) [1]

Objetivo	Novo comportamento
MFA obrigatória para todos os usuários da Snowsight	Os usuários humanos devem se autenticar com um segundo fator ao usar uma senha para acessar o Snowsight, sem exceções. Tenha em mente o seguinte: Esta etapa afeta apenas o Snowsight. Os usuários humanos podem continuar usando uma senha de fator único para acessar o serviço Snowflake a partir do business intelligence (BI) e de ferramentas semelhantes, mesmo depois de usarem o Snowsight para se inscreverem em MFA. Você pode optar por aplicar MFA para essas outras ferramentas; os usuários que já estão inscritos em MFA e usam MFA fora do Snowsight continuarão usando MFA. As políticas de autenticação que implementaram o registro opcional em MFA para o Snowsight são substituídas. Como os usuários que se autenticam no Snowflake OAuth usam a interface de login do Snowsight, eles devem estar inscritos em MFA. Os usuários de login único não são afetados por essa alteração e podem continuar acessando o Snowsight sem alterações. Os usuários do serviço legado (`TYPE=LEGACY_SERVICE`) não são afetados por essa alteração e podem continuar acessando o Snowsight com uma senha de fator único.

Objetivo

Novo comportamento

MFA obrigatória para todos os usuários da Snowsight

Os usuários humanos devem se autenticar com um segundo fator ao usar uma senha para acessar o Snowsight, sem exceções.

Tenha em mente o seguinte:

Esta etapa afeta apenas o Snowsight. Os usuários humanos podem continuar usando uma senha de fator único para acessar o serviço Snowflake a partir do business intelligence (BI) e de ferramentas semelhantes, mesmo depois de usarem o Snowsight para se inscreverem em MFA. Você pode optar por aplicar MFA para essas outras ferramentas; os usuários que já estão inscritos em MFA e usam MFA fora do Snowsight continuarão usando MFA.
As políticas de autenticação que implementaram o registro opcional em MFA para o Snowsight são substituídas.
Como os usuários que se autenticam no Snowflake OAuth usam a interface de login do Snowsight, eles devem estar inscritos em MFA.
Os usuários de login único não são afetados por essa alteração e podem continuar acessando o Snowsight sem alterações.
Os usuários do serviço legado (TYPE=LEGACY_SERVICE) não são afetados por essa alteração e podem continuar acessando o Snowsight com uma senha de fator único.

Para informações detalhadas sobre como as alterações neste pacote afetam a autenticação de SSO e senha dos seus usuários, consulte a próxima aplicação da autenticação multifator (MFA) para logins do Snowsight com senhas de fator único (artigo da base de conhecimento).

Etapa 2: Autenticação forte para novos usuários¶

A Etapa 2 será aplicada nas contas de forma contínua durante um período de três meses. Você receberá uma notificação com a data de aplicação de sua conta.

Maio de 2026 a julho de 2026 [2]

Objetivo	Novo comportamento
MFA obrigatória para todos os novos usuários humanos	Todos os usuários humanos criados após esta etapa ser implementada devem usar um segundo fator ao autenticar com uma senha, incluindo aqueles que usam ferramentas BI ou similares. Os usuários humanos que existiam antes que a etapa seja implementada não são afetados. Esses usuários de senhas podem continuar usando ferramentas BI ou similares (qualquer coisa exceto Snowsight) sem um segundo fator de autenticação até a próxima etapa. Por exemplo, suponha que essa etapa seja aplicada em 15 de maio de 2026. Todos os usuários humanos criados na data ou depois devem usar um segundo fator de autenticação, independentemente da superfície. Os usuários humanos que existiam antes dessa data podem continuar usando a autenticação somente de senha para ferramentas BI, mas não Snowsight.
Nenhum novo usuário de serviço legado	Todos os usuários não humanos criados após a implementação da etapa devem ser do tipo `SERVICE`, o que os impede de usar uma senha. O tipo `LEGACY_SERVICE` não está mais disponível ao criar um novo objeto de usuário. Além disso, os administradores não podem mudar o tipo de um usuário existente para `LEGACY_SERVICE`. Por exemplo, suponha que essa etapa seja aplicada em 15 de maio de 2026. Após essa data, `TYPE=LEGACY_SERVICE` é uma opção inválida ao executar um comando CREATE USER ou ALTER USER.

Objetivo

Novo comportamento

MFA obrigatória para todos os novos usuários humanos

Todos os usuários humanos criados após esta etapa ser implementada devem usar um segundo fator ao autenticar com uma senha, incluindo aqueles que usam ferramentas BI ou similares.

Os usuários humanos que existiam antes que a etapa seja implementada não são afetados. Esses usuários de senhas podem continuar usando ferramentas BI ou similares (qualquer coisa exceto Snowsight) sem um segundo fator de autenticação até a próxima etapa.

Por exemplo, suponha que essa etapa seja aplicada em 15 de maio de 2026. Todos os usuários humanos criados na data ou depois devem usar um segundo fator de autenticação, independentemente da superfície. Os usuários humanos que existiam antes dessa data podem continuar usando a autenticação somente de senha para ferramentas BI, mas não Snowsight.

Nenhum novo usuário de serviço legado

Todos os usuários não humanos criados após a implementação da etapa devem ser do tipo SERVICE, o que os impede de usar uma senha. O tipo LEGACY_SERVICE não está mais disponível ao criar um novo objeto de usuário. Além disso, os administradores não podem mudar o tipo de um usuário existente para LEGACY_SERVICE.

Por exemplo, suponha que essa etapa seja aplicada em 15 de maio de 2026. Após essa data, TYPE=LEGACY_SERVICE é uma opção inválida ao executar um comando CREATE USER ou ALTER USER.

Etapa 3: Autenticação forte para todos os usuários¶

A Etapa 3 será implementada nas contas de forma contínua durante um período de três meses. Você receberá uma notificação com a data de aplicação de sua conta.

Agosto de 2026 - outubro de 2026 [3]

Objetivo	Novo comportamento
MFA obrigatória para todos os usuários humanos	Quando esta etapa for implementada, todos os usuários humanos novos e existentes deverão usar um segundo fator ao se autenticar com uma senha, sem exceções.
Nenhum usuário de serviço legado	Quando esta etapa for implementada, todos os usuários não humanos serão impedidos de usar uma senha para autenticar. O tipo de usuário `LEGACY_SERVICE` está totalmente descontinuado. Todos os objetos de usuário existentes com `TYPE=LEGACY_SERVICE` são migrados para `TYPE=SERVICE`, o que impede que eles usem uma senha.

Objetivo

Novo comportamento

MFA obrigatória para todos os usuários humanos

Quando esta etapa for implementada, todos os usuários humanos novos e existentes deverão usar um segundo fator ao se autenticar com uma senha, sem exceções.

Nenhum usuário de serviço legado

Quando esta etapa for implementada, todos os usuários não humanos serão impedidos de usar uma senha para autenticar.

O tipo de usuário LEGACY_SERVICE está totalmente descontinuado. Todos os objetos de usuário existentes com TYPE=LEGACY_SERVICE são migrados para TYPE=SERVICE, o que impede que eles usem uma senha.