प्रमाणीकरण आश्वासन स्तर (AAL) क्या है?
AAL (प्रमाणीकरण आश्वासन स्तर) क्या है?
यह पेज अपने-आप अनुवादित किया गया है। मूल अंग्रेज़ी संस्करण पढ़ें यहाँ.
AAL (प्रमाणीकरण आश्वासन स्तर) क्या है?#
प्रमाणीकरण आश्वासन स्तर (AAL) एक वर्गीकरण को संदर्भित करता है जिसका उपयोग प्रमाणीकरण प्रक्रियाओं की मजबूती और विश्वसनीयता का वर्णन करने के लिए किया जाता है। NIST के विशेष प्रकाशन SP 800-63-3 में परिभाषित, AAL संगठनों को उनकी डिजिटल इंटरैक्शन के लिए सुरक्षा के उचित स्तर को निर्धारित करने में मदद करता है।
AAL के तीन स्तर हैं:
AAL1: बुनियादी आश्वासन#
- उपयोगकर्ता प्रमाणीकरण में कुछ विश्वास प्रदान करता है।
- इसमें आमतौर पर एकल-कारक प्रमाणीकरण शामिल होता है, जैसे पासवर्ड या OTP डिवाइस।
AAL2: उच्च आश्वासन#
- प्रमाणीकरण के लिए दो अलग-अलग कारकों की आवश्यकता होती है।
- यह स्तर रीप्ले प्रतिरोध और छोटे पुनः प्रमाणीकरण समय जैसे अतिरिक्त सुरक्षा उपायों को संबोधित करता है।
- सिंक किए गए पासकी AAL2-अनुपालक हैं।
AAL3: बहुत उच्च आश्वासन#
- इसमें हार्डवेयर-आधारित ऑथेंटिकेटर का उपयोग करके बहु-कारक प्रमाणीकरण शामिल है।
- इसमें सत्यापनकर्ता प्रतिरूपण प्रतिरोध और सत्यापनकर्ता समझौता प्रतिरोध सहित कड़ी सुरक्षा आवश्यकताएं शामिल हैं।
- डिवाइस-बाउंड पासकी AAL3-अनुपालक हैं।
प्रत्येक स्तर अलग-अलग सुरक्षा आवश्यकताओं के अनुरूप बनाया गया है, जो AAL1 पर कम जोखिम वाले वातावरण से लेकर AAL3 पर उच्च-सुरक्षा मांगों तक है।
- प्रमाणीकरण आश्वासन स्तर (AAL) प्रमाणीकरण की मजबूती का एक माप है।
- AAL1 में बुनियादी सुरक्षा शामिल है, AAL2 इसे दो कारकों के साथ बढ़ाता है, और AAL3 बहु-कारक हार्डवेयर-आधारित प्रमाणीकरण के साथ उच्चतम सुरक्षा प्रदान करता है।
- प्रमुख आवश्यकताओं में रीप्ले प्रतिरोध, सत्यापनकर्ता प्रतिरूपण प्रतिरोध और सत्यापनकर्ता समझौता प्रतिरोध शामिल हैं।
यहां प्रमाणीकरण आश्वासन स्तरों और उनके निहितार्थों पर एक गहरी नज़र है:
AAL1: पहुंच और जोखिम#
- कम-सुरक्षा वाले अनुप्रयोगों के लिए लक्षित जहां सुविधा को प्राथमिकता दी जाती है।
- पासवर्ड जैसे सरल प्रमाणीकरण रूपों पर निर्भरता के कारण सामान्य सुरक्षा खतरों के प्रति संवेदनशील (जैसे फ़िशिंग, मैन-इन-द-मिडिल हमला, क्रेडेंशियल स्टफिंग, ...)
Latest news के लिए हमारे Passkeys Substack को subscribe करें.
AAL2: उन्नत सुरक्षा उपाय#
- उच्च सुरक्षा की आवश्यकता वाले लेनदेन के लिए उपयुक्त।
- सुरक्षा को मजबूत करने के लिए भौतिक (जैसे, सुरक्षा टोकन) और ज्ञान-आधारित कारकों (जैसे, पासवर्ड) को जोड़ता है।
AAL3: उच्चतम सुरक्षा मानक#
- उच्च जोखिम वाले वातावरण के लिए डिज़ाइन किया गया, जो अधिकतम सुरक्षा सुनिश्चित करता है।
- उन्नत क्रिप्टोग्राफ़िक उपायों और भौतिक छेड़छाड़ के प्रति हार्डवेयर प्रतिरोध का उपयोग करता है।
पासकी से संबंधित AAL में सुधार#
- NIST सिंक किए गए पासकी (जैसे iCloud कीचेन के माध्यम से) को AAL2-अनुपालक के रूप में अनुमोदित करता है, जो डिजिटल संस्थाओं के लिए सुरक्षा ढांचे को बढ़ाता है और पासकी को व्यापक रूप से अपनाने का मार्ग प्रशस्त करता है।
- पासकी का उपयोग उच्च जोखिम वाले परिदृश्यों में AAL3-अनुपालक प्रमाणीकरण के रूप में भी किया जा सकता है, यदि वे डिवाइस-बाउंड पासकी हैं, जो AAL2 की तरह उपकरणों में पासकी सिंक्रनाइज़ेशन की अनुमति नहीं देते हैं।
पासकी की AAL-अनुरूपता के बारे में इस ब्लॉग में और पढ़ें।
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case studyप्रमाणीकरण आश्वासन स्तर (AAL) के बारे में अक्सर पूछे जाने वाले प्रश्न#
AAL1 क्या है और इसका उपयोग कब किया जाता है?#
AAL1 बुनियादी प्रमाणीकरण सुरक्षा प्रदान करता है, जिसका उपयोग आमतौर पर कम जोखिम वाले वातावरण में किया जाता है जहाँ उपयोगकर्ता की सुविधा प्राथमिकता होती है।
AAL2, AAL1 की तुलना में सुरक्षा में कैसे सुधार करता है?#
AAL2 के लिए दो अलग-अलग प्रमाणीकरण कारकों की आवश्यकता होती है, जो AAL1 की तुलना में अनधिकृत पहुंच के जोखिम को काफी कम कर देता है।
AAL3 के लिए क्या आवश्यकताएं हैं?#
AAL3 प्रमाणीकरण आश्वासन का उच्चतम स्तर है, जिसमें हार्डवेयर-आधारित ऑथेंटिकेटर और सत्यापनकर्ता प्रतिरूपण प्रतिरोध जैसे कड़े सुरक्षा उपाय शामिल हैं।
पासकी AAL वर्गीकरण को कैसे प्रभावित करते हैं?#
सिंक किए गए पासकी (जैसे iCloud कीचेन के माध्यम से) को AA2 के रूप में वर्गीकृत किया गया है जबकि डिवाइस-बाउंड पासकी को AA3-अनुपालक के रूप में वर्गीकृत किया गया है। इसके बारे में इस ब्लॉग में और पढ़ें।
Corbado के बारे में
Corbado बड़े पैमाने पर consumer authentication चलाने वाली CIAM टीमों के लिए Passkey Intelligence Platform है। हम आपको वह दिखाते हैं जो IDP logs और सामान्य analytics tools नहीं दिखा सकते: कौन-से devices, OS versions, browsers और credential managers passkeys को support करते हैं, क्यों enrollments login में नहीं बदलते, WebAuthn flow कहाँ fail होता है, और कब कोई OS या browser update चुपचाप login को तोड़ देता है — और यह सब Okta, Auth0, Ping, Cognito या आपके in-house IDP को बदले बिना। दो products: Corbado Observe जोड़ता है passkeys और किसी भी अन्य login method के लिए observability। Corbado Connect देता है analytics के साथ built-in managed passkeys (आपके IDP के साथ-साथ)। VicRoads, Corbado के साथ 5M+ users के लिए passkeys चला रहा है (+80% passkey activation)। Passkey विशेषज्ञ से बात करें →
यह लेख साझा करें
विषय सूची
संबंधित शब्द
संबंधित लेख
