Was ist der Authentication Assurance Level (AAL)?

Was ist der AAL (Authentication Assurance Level)?#

Authentication Assurance Level (AAL) bezeichnet eine Klassifizierung, die verwendet wird, um die Stärke und Zuverlässigkeit von Authentifizierungsprozessen zu beschreiben. Definiert in der Special Publication SP 800-63-3 des NIST, hilft der AAL Organisationen dabei, das angemessene Sicherheitsniveau für ihre digitalen Interaktionen zu bestimmen.

Become part of our Passkeys Community for updates & support.

Join

Es gibt drei Stufen des AAL:

AAL1: Grundlegende Sicherheit#

Bietet ein gewisses Vertrauen in die Benutzerauthentifizierung.
Umfasst typischerweise eine Ein-Faktor-Authentifizierung, wie z. B. ein Passwort oder ein OTP-Gerät.

AAL2: Hohe Sicherheit#

Erfordert zwei verschiedene Faktoren für die Authentifizierung.
Diese Stufe berücksichtigt zusätzliche Sicherheitsmaßnahmen wie Replay-Resistenz und kürzere Reauthentifizierungszeiten.
Synchronisierte Passkeys sind AAL2-konform.

AAL3: Sehr hohe Sicherheit#

Beinhaltet eine Multi-Faktor-Authentifizierung unter Verwendung eines hardwarebasierten Authenticators.
Umfasst strenge Sicherheitsanforderungen, einschließlich Resistenz gegen Verifier-Impersonation und Resistenz gegen Verifier-Kompromittierung.
Gerätegebundene Passkeys sind AAL3-konform.

Jede Stufe ist auf unterschiedliche Sicherheitsanforderungen zugeschnitten, von Umgebungen mit geringem Risiko bei AAL1 bis hin zu hohen Sicherheitsanforderungen bei AAL3.

Authentication Assurance Level (AAL) ist ein Maß für die Stärke der Authentifizierung.
AAL1 umfasst grundlegende Sicherheit, AAL2 erweitert diese um zwei Faktoren, und AAL3 bietet die höchste Sicherheit mit hardwarebasierter Multi-Faktor-Authentifizierung.
Wichtige Anforderungen sind Replay-Resistenz, Verifier-Impersonation-Resistenz und Verifier-Kompromittierungs-Resistenz.

Hier ist ein tieferer Einblick in die Authentication Assurance Levels und ihre Auswirkungen:

AAL1: Zugänglichkeit und Risiken#

Ausgerichtet auf Anwendungen mit geringer Sicherheit, bei denen die Benutzerfreundlichkeit im Vordergrund steht.
Anfällig für gängige Sicherheitsbedrohungen aufgrund der Abhängigkeit von einfachen Authentifizierungsformen wie Passwörtern (z. B. Phishing, Man-in-the-Middle-Angriffe, Credential Stuffing, …)

Subscribe to our Passkeys Substack for the latest news.

AAL2: Erweiterte Sicherheitsmaßnahmen#

Geeignet für Transaktionen, die eine höhere Sicherheit erfordern.
Kombiniert physische (z. B. Sicherheitstoken) und wissensbasierte Faktoren (z. B. Passwörter), um die Sicherheit zu erhöhen.

AAL3: Höchste Sicherheitsstandards#

Entwickelt für Hochrisikoumgebungen, um maximale Sicherheit zu gewährleisten.
Nutzt fortschrittliche kryptografische Maßnahmen und Hardware-Resistenz gegen physische Manipulation.

Verbesserungen bei AAL im Zusammenhang mit Passkeys#

NIST stuft synchronisierte Passkeys (z. B. über den iCloud-Schlüsselbund) als AAL2-konform ein, was den Sicherheitsrahmen für digitale Entitäten verbessert und den Weg für eine breitere Akzeptanz von Passkeys ebnet.
Passkeys können auch in Szenarien mit höherem Risiko als AAL3-konforme Authentifizierung verwendet werden, wenn es sich um gerätegebundene Passkeys handelt, die keine Synchronisierung von Passkeys über Geräte hinweg wie bei AAL2 erlauben.

Lesen Sie mehr über die AAL-Konformität von Passkeys in diesem Blog.

Ben Gould

Head of Engineering

I’ve built hundreds of integrations in my time, including quite a few with identity providers and I’ve never been so impressed with a developer experience as I have been with Corbado.

Über 3.000 Entwickler vertrauen Corbado & machen das Internet mit Passkeys sicherer. Haben Sie Fragen? Wir haben über 150 Blogbeiträge zu Passkeys verfasst.

Treten Sie der Passkeys-Community bei