In november kondigde Google het al aan, en nu ligt het tijdschema vast voor de verplichte overstap naar multifactorauthenticatie (MFA) voor Google-accounts.
Op de hoogte blijven van al het nieuws omtrent multifactorauthenticatie?
Schrijf je in voor de gratis wekelijkse nieuwsbrief van c’t magazine:
Waarom multifactorauthenticatie verplichten?
MFA biedt betere bescherming tegen phishing en het misbruik van inloggegevens uit datalekken. Om deze reden heeft Google in november aangekondigd dat MFA verplicht zal worden voor online accounts bij het bedrijf. Inmiddels heeft Google het tijdspad voor deze implementatie definitief vastgesteld.
In een artikel over Google Cloud licht het bedrijf de veranderingen en details toe. Volgens Google zijn accounts die met MFA zijn beveiligd met 99% zekerheid niet te kraken. Daarom wordt de MFA-verplichting stapsgewijs voor alle Google Cloud-accounts ingevoerd.
Gefaseerde uitrol van MFA-verplichting
De uitrol begint met de accounts van resellers. Voor hen wordt multifactorauthenticatie vanaf 28 april 2025 verplicht. Klantenaccounts van resellers vallen in deze fase nog niet onder de verplichting.
Voor particuliere Google-accounts, zoals die van Gmail, wordt MFA geactiveerd vanaf 12 mei 2025. Vervolgens komen in het derde kwartaal van 2025 zakelijke Cloud Identity-accounts zonder Single Sign-On (SSO) aan de beurt. Ten slotte worden zakelijke accounts met federatieve authenticatie in het vierde kwartaal van 2025 of later verplicht om MFA te gebruiken.
Gebruikers krijgen tijdige waarschuwingen
Google zal betrokken gebruikers tijdig informeren over de veranderingen. In de Cloud Console wordt minimaal 90 dagen vóór de verplichte invoering een herinnering weergegeven, en ook per e-mail worden gebruikers op de hoogte gebracht. Resellers en hun klanten ontvangen deze meldingen 60 dagen van tevoren.
Particuliere gebruikers krijgen momenteel al een informatie-e-mail, ongeacht of zij tweestapsverificatie (2FA) al hebben ingeschakeld of niet. Deze e-mail bevat een link naar de beveiligingsinstellingen van het Google-account, waar gebruikers kunnen controleren of MFA al is ingeschakeld en welke verificatiemethoden (zoals passkeys, beveiligingssleutels, authenticator-apps of telefoonnummers) zijn ingesteld.
Welke diensten worden beïnvloed?
De wijziging heeft invloed op de toegang tot de Google Cloud Console, de gcloud CLI en de Firebase Console. Aanmelden bij een Google-account en het gebruik van Google Workspace (zoals Gmail, Google Drive en YouTube) blijft mogelijk zonder MFA. Echter, Google Workspace-producten, zoals Spreadsheets en Presentaties, vallen onder aparte MFA-vereisten.
Google adviseert alle gebruikers om nu al multifactorauthenticatie in te schakelen en zich goed voor te bereiden op de aankomende verplichtingen. Voor particulieren lijkt er geen manier te zijn om MFA te omzeilen, terwijl voor zakelijke klanten mogelijk een opt-out-programma wordt onderzocht.
Achtergrond van de MFA-verplichting
In november 2024 maakte Google bekend dat gebruikers van het Google Cloud Platform (GCP) voortaan een extra verificatiecode nodig hebben naast hun wachtwoord en gebruikersnaam. De invoering van multifactorauthenticatie is bedoeld om hacking te voorkomen. Destijds werd slechts een globaal tijdschema genoemd, maar dat is nu verder uitgewerkt.
Op de hoogte blijven van al het nieuws omtrent multifactorauthenticatie?
Schrijf je in voor de gratis wekelijkse nieuwsbrief van c’t magazine:
Ik haat dubbelverificatie. Dus al helemaal MFA. Hoe ga je computergebruik haten…
Dit om nog meer iedereen in te blikken. Binnen kort zal men moeten aangeven wanneer we gaan slapen en opstaan.
Dus Gerard word liever een keer gehacked.