Planejamento para a descontinuidade dos logins com senha de fator único

To improve the security posture of all of its customers, Snowflake is rolling out changes to require multi-factor authentication (MFA) for all human users using passwords, and disallow passwords for all service users. This topic describes how single-factor password sign-ins will be deprecated so you can plan accordingly.

Importante

Em outubro de 2025, a Snowflake simplificou a linha do tempo discutida neste tópico. O novo cronograma consolida as etapas iniciais e estende a data final de implementação de agosto de 2026 para outubro de 2026. Essa mudança simplifica o processo de adoção de MFA e foi feita em resposta ao feedback direto de clientes em relação à complexidade de cumprir os cronogramas com as etapas originais.

Este cronograma revisado oferece à sua organização mais tempo e clareza para planejar a migração de suas cargas de trabalho atuais que dependem de senhas. Ele também lhe dá a oportunidade de adotar as melhorias de segurança que lançamos recentemente, projetadas para facilitar sua transição. Essas melhorias de segurança incluem federação de identidade de carga de trabalho para autenticação sem segredo das cargas de trabalho de serviço e códigos de acesso únicos (OTP) como um novo método MFA para seus cenários de delimitação.

The deprecation process described in this topic does not apply to reader accounts or trial accounts. You can continue to sign in to these types of accounts with a single-factor password.

Usuários humanos vs. usuários de serviços

Os objetos de usuário no Snowflake nem sempre correspondem a usuários humanos. Há usuários que se conectam ao Snowflake sem interação humana – por exemplo, um aplicativo ou serviço. Esses usuários são considerados usuários de serviço.

Os administradores usam o parâmetro TYPE de um objeto de usuário para definir se um usuário é um usuário humano ou um usuário de serviço.

  • Para usuários humanos, TYPE=PERSON. Se você não definir o parâmetro TYPE ou defini-lo como NULL, o usuário será tratado como um usuário humano.

  • Para usuários de serviço, TYPE=SERVICE.

    Nota

    O tipo de usuário LEGACY_SERVICE ajuda os clientes a fazer a transição dos usuários de serviço para o uso de uma forma segura de autenticação. Definir o tipo de usuário como LEGACY_SERVICE permite temporariamente que o usuário se autentique com uma senha, mesmo que seja um aplicativo ou serviço. A implementação descrita neste tópico envolve a eliminação gradual desse tipo de usuário.

A distinção entre um usuário humano e um usuário de serviço é importante porque essa implementação afeta esses dois tipos de usuários de forma diferente. Para reforçar a postura de segurança para ambos os tipos de usuários, a descontinuação dos logins com senha de fator único consiste no seguinte:

  • All human users who use password authentication will be required to use a second factor of authentication.

  • All legacy service users who currently use password authentication will be required to migrate to a more secure authentication method.

Cronograma de descontinuação

A tabela a seguir fornece a linha do tempo para a descontinuação dos logins com senha de fator único.

Data estimada

Usuários afetados

Etapa

Setembro de 2025 a janeiro 2026

  • Usuários humanos

MFA obrigatória para todos os usuários do Snowsight

Maio de 2026 a julho de 2026

  • Usuários humanos

  • Legacy service users

Strong authentication for NEW users

Aug. 2026 - Oct. 2026

  • Usuários humanos

  • Legacy service users

Strong authentication for ALL users

Milestone 1: Mandatory MFA for all Snowsight users (new and existing)

Milestone 1 is implemented using Snowflake’s established behavior change release process. In this process, Snowflake releases a behavior change bundle each month. Because changes will be included in a behavior change bundle, enforcement of the new restrictions coincide with the lifecycle of the bundle.

For more information about the lifecycle of behavior change bundles so you can plan for the enforcement of this milestone, see Política de mudança de comportamento.

2025_06 bundle (September 2025 - January 2026) [1]

Objetivo

Novo comportamento

MFA obrigatória para todos os usuários da Snowsight

Os usuários humanos devem se autenticar com um segundo fator ao usar uma senha para acessar o Snowsight, sem exceções.

Tenha em mente o seguinte:

  • Esta etapa afeta apenas o Snowsight. Os usuários humanos podem continuar usando uma senha de fator único para acessar o serviço Snowflake a partir do business intelligence (BI) e de ferramentas semelhantes, mesmo depois de usarem o Snowsight para se inscreverem em MFA. Você pode optar por aplicar MFA para essas outras ferramentas; os usuários que já estão inscritos em MFA e usam MFA fora do Snowsight continuarão usando MFA.

  • As políticas de autenticação que implementaram o registro opcional em MFA para o Snowsight são substituídas.

  • Como os usuários que se autenticam no Snowflake OAuth usam a interface de login do Snowsight, eles devem estar inscritos em MFA.

  • Os usuários de login único não são afetados por essa alteração e podem continuar acessando o Snowsight sem alterações.

  • Os usuários do serviço legado (TYPE=LEGACY_SERVICE) não são afetados por essa alteração e podem continuar acessando o Snowsight com uma senha de fator único.

Para informações detalhadas sobre como as alterações neste pacote afetam a autenticação de SSO e senha dos seus usuários, consulte a próxima aplicação da autenticação multifator (MFA) para logins do Snowsight com senhas de fator único (artigo da base de conhecimento).

Etapa 2: Autenticação forte para novos usuários

A Etapa 2 será aplicada nas contas de forma contínua durante um período de três meses. Você receberá uma notificação com a data de aplicação de sua conta.

May 2026 - July 2026 [2]

Objetivo

Novo comportamento

Mandatory MFA for all new human users

All human users that are created after this milestone is enforced must use a second factor when authenticating with a password, including those using BI tools or similar.

Human users who existed before the milestone is enforced are not affected. These password users can continue to use BI tools or similar (anything but Snowsight) without a second factor of authentication until the next milestone.

For example, suppose this milestone is enforced on May 15, 2026. All human users created on or after this date must use a second factor of authentication regardless of the surface. Human users who existed before this date can continue to use password-only authentication for BI tools, but not Snowsight.

No new legacy service users

All non-human users created after the milestone is enforced must be of type SERVICE, which prevents them from using a password. The LEGACY_SERVICE type is no longer available when creating a new user object. In addition, administrators cannot change the type of an existing user to LEGACY_SERVICE.

For example, suppose this milestone is enforced on May 15, 2026. After this date, TYPE=LEGACY_SERVICE is an invalid option when executing a CREATE USER or ALTER USER command.

Etapa 3: Autenticação forte para todos os usuários

A Etapa 3 será implementada nas contas de forma contínua durante um período de três meses. Você receberá uma notificação com a data de aplicação de sua conta.

Agosto de 2026 - outubro de 2026 [3]

Objetivo

Novo comportamento

Mandatory MFA for all human users

When this milestone is enforced, all new and existing human users must use a second factor when authenticating with a password, with no exceptions.

No legacy service users

When this milestone is enforced, all non-human users are blocked from using a password to authenticate.

O tipo de usuário LEGACY_SERVICE está totalmente descontinuado. Todos os objetos de usuário existentes com TYPE=LEGACY_SERVICE são migrados para TYPE=SERVICE, o que impede que eles usem uma senha.
Linguagem: Português