Was ist der AAL (Authentication Assurance Level)?#
Authentication Assurance Level (AAL) bezeichnet eine Klassifizierung, die verwendet
wird, um die Stärke und Zuverlässigkeit von Authentifizierungsprozessen zu beschreiben.
Definiert in der Special Publication SP 800-63-3 des NIST, hilft
der AAL Organisationen dabei, das angemessene Sicherheitsniveau für ihre digitalen
Interaktionen zu bestimmen.
Become part of our Passkeys Community for updates & support.
Jede Stufe ist auf unterschiedliche Sicherheitsanforderungen zugeschnitten, von Umgebungen
mit geringem Risiko bei
AAL1 bis hin zu
hohen Sicherheitsanforderungen bei AAL3.
Authentication Assurance Level (AAL) ist ein Maß für die Stärke der
Authentifizierung.
Wichtige Anforderungen sind Replay-Resistenz, Verifier-Impersonation-Resistenz und
Verifier-Kompromittierungs-Resistenz.
Hier ist ein tieferer Einblick in die Authentication Assurance Levels und ihre
Auswirkungen:
AAL1: Zugänglichkeit und Risiken#
Ausgerichtet auf Anwendungen mit geringer
Sicherheit, bei denen die Benutzerfreundlichkeit im
Vordergrund steht.
Anfällig für gängige Sicherheitsbedrohungen aufgrund der Abhängigkeit von einfachen
Authentifizierungsformen wie Passwörtern (z. B. Phishing,
Man-in-the-Middle-Angriffe, Credential Stuffing, …)
Subscribe to our Passkeys Substack for the latest news.
Geeignet für Transaktionen, die eine höhere Sicherheit erfordern.
Kombiniert physische (z. B. Sicherheitstoken) und wissensbasierte Faktoren (z. B.
Passwörter), um die Sicherheit zu erhöhen.
AAL3: Höchste Sicherheitsstandards#
Entwickelt für Hochrisikoumgebungen, um maximale Sicherheit zu gewährleisten.
Nutzt fortschrittliche kryptografische Maßnahmen und Hardware-Resistenz gegen physische
Manipulation.
Verbesserungen bei AAL im Zusammenhang mit Passkeys#
NIST stuft synchronisierte Passkeys (z. B. über den
iCloud-Schlüsselbund) als
AAL2-konform ein, was den Sicherheitsrahmen für digitale
Entitäten verbessert und den Weg für eine breitere Akzeptanz von Passkeys ebnet.
Passkeys können auch in Szenarien mit höherem Risiko als AAL3-konforme
Authentifizierung verwendet werden,
wenn es sich um gerätegebundene Passkeys handelt, die keine Synchronisierung von
Passkeys über Geräte hinweg wie bei AAL2 erlauben.
Lesen Sie mehr über die AAL-Konformität von Passkeys in
diesem Blog.
Ben Gould
Head of Engineering
I’ve built hundreds of integrations in my time, including quite a few with identity providers and I’ve never been so impressed with a developer experience as I have been with Corbado.
Über 3.000 Entwickler vertrauen Corbado & machen das Internet mit Passkeys sicherer. Haben Sie Fragen? Wir haben über 150 Blogbeiträge zu Passkeys verfasst.
Häufig gestellte Fragen (FAQs) zum Authentication Assurance Level (AAL)#
Was ist AAL1 und wann wird es verwendet?#
AAL1 bietet
grundlegende Authentifizierungssicherheit und wird häufig in Umgebungen mit geringem
Risiko eingesetzt, in denen die Benutzerfreundlichkeit im Vordergrund steht.
Wie verbessert AAL2 die Sicherheit gegenüber AAL1?#
AAL2 erfordert zwei verschiedene Authentifizierungsfaktoren, was
das Risiko eines unbefugten Zugriffs im Vergleich zu
AAL1 erheblich
reduziert.
Was sind die Anforderungen für AAL3?#
AAL3 ist die höchste Stufe der Authentifizierungssicherheit und
umfasst hardwarebasierte Authenticators sowie strenge Sicherheitsmaßnahmen wie die
Resistenz gegen Verifier-Impersonation.
Wie wirken sich Passkeys auf die AAL-Klassifizierungen aus?#
Synchronisierte Passkeys (z. B. über den
iCloud-Schlüsselbund) werden als AAL2-konform eingestuft,
während gerätegebundene Passkeys als AAL3-konform klassifiziert werden. Lesen Sie mehr
darüber in diesem Blog.
Add passkeys to your app in <1 hour with our UI components, SDKs & guides.