Planejamento para a descontinuidade dos logins com senha de fator único

To improve the security posture of all of its customers, Snowflake is rolling out changes to require multi-factor authentication (MFA) for all human users using passwords, and disallow passwords for all service users. This topic describes how single-factor password sign-ins will be deprecated so you can plan accordingly.

Importante

In October 2025, Snowflake simplified the timeline discussed in this topic. The new timeline consolidates initial phases and extends the final enforcement date from August 2026 to October 2026. This change streamlines the process of adopting MFA and was made in response to direct customer feedback regarding the complexity of meeting the original timelines.

Este cronograma revisado oferece à sua organização mais tempo e clareza para planejar a migração de suas cargas de trabalho atuais que dependem de senhas. Ele também lhe dá a oportunidade de adotar as melhorias de segurança que lançamos recentemente, projetadas para facilitar sua transição. Essas melhorias de segurança incluem federação de identidade de carga de trabalho para autenticação sem segredo das cargas de trabalho de serviço e códigos de acesso únicos (OTP) como um novo método MFA para seus cenários de delimitação.

The deprecation process described in this topic does not apply to reader accounts or trial accounts. You can continue to sign in to these types of accounts with a single-factor password.

Usuários humanos vs. usuários de serviços

Os objetos de usuário no Snowflake nem sempre correspondem a usuários humanos. Há usuários que se conectam ao Snowflake sem interação humana – por exemplo, um aplicativo ou serviço. Esses usuários são considerados usuários de serviço.

Os administradores usam o parâmetro TYPE de um objeto de usuário para definir se um usuário é um usuário humano ou um usuário de serviço.

  • Para usuários humanos, TYPE=PERSON. Se você não definir o parâmetro TYPE ou defini-lo como NULL, o usuário será tratado como um usuário humano.

  • Para usuários de serviço, TYPE=SERVICE.

    Nota

    O tipo de usuário LEGACY_SERVICE ajuda os clientes a fazer a transição dos usuários de serviço para o uso de uma forma segura de autenticação. Definir o tipo de usuário como LEGACY_SERVICE permite temporariamente que o usuário se autentique com uma senha, mesmo que seja um aplicativo ou serviço. A implementação descrita neste tópico envolve a eliminação gradual desse tipo de usuário.

A distinção entre um usuário humano e um usuário de serviço é importante porque essa implementação afeta esses dois tipos de usuários de forma diferente. Para reforçar a postura de segurança para ambos os tipos de usuários, a descontinuação dos logins com senha de fator único consiste no seguinte:

  • All human users who use password authentication will be required to use a second factor of authentication.

  • All legacy service users who currently use password authentication will be required to migrate to a more secure authentication method.

Cronograma de descontinuação

A tabela a seguir fornece a linha do tempo para a descontinuação dos logins com senha de fator único.

Data estimada

Usuários afetados

Phase

Setembro de 2025 a janeiro 2026

  • Usuários humanos

MFA obrigatória para todos os usuários do Snowsight

Maio de 2026 a julho de 2026

  • Usuários humanos

  • Legacy service users

Strong authentication for NEW users

Aug. 2026 - Oct. 2026

  • Usuários humanos

  • Legacy service users

Strong authentication for ALL users

Phase 1: Mandatory MFA for all Snowsight users (new and existing)

Phase 1 is implemented using Snowflake’s established behavior change release process. In this process, Snowflake releases a behavior change bundle each month. Because changes will be included in a behavior change bundle, enforcement of the new restrictions coincide with the lifecycle of the bundle.

For more information about the lifecycle of behavior change bundles so you can plan for the enforcement of this phase, see Política de mudança de comportamento.

2025_06 bundle (September 2025 - January 2026) [1]

Objetivo

Novo comportamento

MFA obrigatória para todos os usuários da Snowsight

Os usuários humanos devem se autenticar com um segundo fator ao usar uma senha para acessar o Snowsight, sem exceções.

Tenha em mente o seguinte:

  • This phase affects Snowsight only. Human users can continue to use a single-factor password to access the Snowflake service from business intelligence (BI) and similar tools, even after they use Snowsight to enroll in MFA. You can choose to enforce MFA for these other tools; users who are already enrolled in MFA and use MFA outside Snowsight will continue to use MFA.

  • As políticas de autenticação que implementaram o registro opcional em MFA para o Snowsight são substituídas.

  • Como os usuários que se autenticam no Snowflake OAuth usam a interface de login do Snowsight, eles devem estar inscritos em MFA.

  • Os usuários de login único não são afetados por essa alteração e podem continuar acessando o Snowsight sem alterações.

  • Os usuários do serviço legado (TYPE=LEGACY_SERVICE) não são afetados por essa alteração e podem continuar acessando o Snowsight com uma senha de fator único.

Para informações detalhadas sobre como as alterações neste pacote afetam a autenticação de SSO e senha dos seus usuários, consulte a próxima aplicação da autenticação multifator (MFA) para logins do Snowsight com senhas de fator único (artigo da base de conhecimento).

Phase 2: Strong authentication for new users

Phase 2 will be enforced in accounts on a rolling basis during a three-month period. You’ll receive a notification with the enforcement date for your account.

May 2026 - July 2026 [2]

Objetivo

Novo comportamento

Mandatory MFA for all new human users

All human users that are created after this phase is enforced must use a second factor when authenticating with a password, including those using BI tools or similar.

Human users who existed before the phase is enforced are not affected. These password users can continue to use BI tools or similar (anything but Snowsight) without a second factor of authentication until the next phase.

For example, suppose this phase is enforced on May 15, 2026. All human users created on or after this date must use a second factor of authentication regardless of the surface. Human users who existed before this date can continue to use password-only authentication for BI tools, but not Snowsight.

No new legacy service users

All non-human users created after the phase is enforced must be of type SERVICE, which prevents them from using a password. The LEGACY_SERVICE type is no longer available when creating a new user object. In addition, administrators cannot change the type of an existing user to LEGACY_SERVICE.

For example, suppose this phase is enforced on May 15, 2026. After this date, TYPE=LEGACY_SERVICE is an invalid option when executing a CREATE USER or ALTER USER command.

Phase 3: Strong authentication for all users

Phase 3 will be enforced in accounts on a rolling basis during a three-month period. You’ll receive a notification with the enforcement date for your account.

Agosto de 2026 - outubro de 2026 [3]

Objetivo

Novo comportamento

Mandatory MFA for all human users

When this phase is enforced, all new and existing human users must use a second factor when authenticating with a password, with no exceptions.

No legacy service users

When this phase is enforced, all non-human users are blocked from using a password to authenticate.

O tipo de usuário LEGACY_SERVICE está totalmente descontinuado. Todos os objetos de usuário existentes com TYPE=LEGACY_SERVICE são migrados para TYPE=SERVICE, o que impede que eles usem uma senha.
Linguagem: Português