Was ist der Authentication Assurance Level (AAL)?

Authentication Assurance Level (AAL) bezeichnet eine Klassifizierung, die verwendet wird, um die Stärke und Zuverlässigkeit von Authentifizierungsprozessen zu beschreiben. Definiert in der Special Publication SP 800-63-3 des NIST, hilft der AAL Organisationen dabei, das angemessene Sicherheitsniveau für ihre digitalen Interaktionen zu bestimmen.

Es gibt drei Stufen des AAL:

• Bietet ein gewisses Vertrauen in die Benutzerauthentifizierung.
• Umfasst typischerweise eine Ein-Faktor-Authentifizierung, wie z. B. ein Passwort oder ein OTP-Gerät.

• Erfordert zwei verschiedene Faktoren für die Authentifizierung.
• Diese Stufe berücksichtigt zusätzliche Sicherheitsmaßnahmen wie Replay-Resistenz und kürzere Reauthentifizierungszeiten.
• Synchronisierte Passkeys sind AAL2-konform.

• Beinhaltet eine Multi-Faktor-Authentifizierung unter Verwendung eines hardwarebasierten Authenticators.
• Umfasst strenge Sicherheitsanforderungen, einschließlich Resistenz gegen Verifier-Impersonation und Resistenz gegen Verifier-Kompromittierung.
• Gerätegebundene Passkeys sind AAL3-konform.

Jede Stufe ist auf unterschiedliche Sicherheitsanforderungen zugeschnitten, von Umgebungen mit geringem Risiko bei AAL1 bis hin zu hohen Sicherheitsanforderungen bei AAL3.

---

Hier ist ein tieferer Einblick in die Authentication Assurance Levels und ihre Auswirkungen:

• Ausgerichtet auf Anwendungen mit geringer Sicherheit, bei denen die Benutzerfreundlichkeit im Vordergrund steht.
• Anfällig für gängige Sicherheitsbedrohungen aufgrund der Abhängigkeit von einfachen Authentifizierungsformen wie Passwörtern (z. B. Phishing, Man-in-the-Middle-Angriffe, Credential Stuffing, …)

• Geeignet für Transaktionen, die eine höhere Sicherheit erfordern.
• Kombiniert physische (z. B. Sicherheitstoken) und wissensbasierte Faktoren (z. B. Passwörter), um die Sicherheit zu erhöhen.

• Entwickelt für Hochrisikoumgebungen, um maximale Sicherheit zu gewährleisten.
• Nutzt fortschrittliche kryptografische Maßnahmen und Hardware-Resistenz gegen physische Manipulation.

• NIST stuft synchronisierte Passkeys (z. B. über den iCloud-Schlüsselbund) als AAL2-konform ein, was den Sicherheitsrahmen für digitale Entitäten verbessert und den Weg für eine breitere Akzeptanz von Passkeys ebnet.
• Passkeys können auch in Szenarien mit höherem Risiko als AAL3-konforme Authentifizierung verwendet werden, wenn es sich um gerätegebundene Passkeys handelt, die keine Synchronisierung von Passkeys über Geräte hinweg wie bei AAL2 erlauben.

Lesen Sie mehr über die AAL-Konformität von Passkeys in diesem Blog.

---

AAL1 bietet grundlegende Authentifizierungssicherheit und wird häufig in Umgebungen mit geringem Risiko eingesetzt, in denen die Benutzerfreundlichkeit im Vordergrund steht.

AAL2 erfordert zwei verschiedene Authentifizierungsfaktoren, was das Risiko eines unbefugten Zugriffs im Vergleich zu AAL1 erheblich reduziert.

AAL3 ist die höchste Stufe der Authentifizierungssicherheit und umfasst hardwarebasierte Authenticators sowie strenge Sicherheitsmaßnahmen wie die Resistenz gegen Verifier-Impersonation.

Synchronisierte Passkeys (z. B. über den iCloud-Schlüsselbund) werden als AAL2-konform eingestuft, während gerätegebundene Passkeys als AAL3-konform klassifiziert werden. Lesen Sie mehr darüber in diesem Blog.