Apa itu Tingkat Jaminan Autentikasi (AAL)?

Apa itu AAL (Tingkat Jaminan Autentikasi)?#

Tingkat Jaminan Autentikasi (Authentication Assurance Level - AAL) mengacu pada klasifikasi yang digunakan untuk menggambarkan kekuatan dan keandalan proses autentikasi. Didefinisikan dalam Publikasi Khusus SP 800-63-3 dari NIST, AAL membantu organisasi menentukan tingkat keamanan yang sesuai untuk interaksi digital mereka.

Become part of our Passkeys Community for updates & support.

Join

Ada tiga tingkat AAL:

AAL1: Jaminan Dasar#

Menawarkan tingkat kepercayaan pada autentikasi pengguna.
Biasanya melibatkan autentikasi faktor tunggal, seperti kata sandi atau perangkat OTP.

AAL2: Jaminan Tinggi#

Memerlukan dua faktor yang berbeda untuk autentikasi.
Tingkat ini menangani langkah-langkah keamanan tambahan seperti resistensi replay dan waktu reautentikasi yang lebih singkat.
Passkey yang disinkronkan sesuai dengan AAL2.

AAL3: Jaminan Sangat Tinggi#

Melibatkan autentikasi multifaktor menggunakan autentikator berbasis perangkat keras.
Memiliki persyaratan keamanan yang ketat termasuk resistensi peniruan verifikator dan resistensi kompromi verifikator.
Passkey yang terikat perangkat sesuai dengan AAL3.

Setiap tingkat disesuaikan dengan kebutuhan keamanan yang berbeda, mulai dari lingkungan berisiko rendah di AAL1 hingga tuntutan keamanan tinggi di AAL3.

Tingkat Jaminan Autentikasi (AAL) adalah ukuran kekuatan autentikasi.
AAL1 melibatkan keamanan dasar, AAL2 meningkatkannya dengan dua faktor, dan AAL3 menawarkan keamanan tertinggi dengan autentikasi multifaktor berbasis perangkat keras.
Persyaratan utama termasuk resistensi replay, resistensi peniruan verifikator, dan resistensi kompromi verifikator.

Berikut adalah penjelasan lebih mendalam tentang tingkat jaminan autentikasi dan implikasinya:

AAL1: Aksesibilitas dan Risiko#

Ditujukan untuk aplikasi keamanan rendah di mana kenyamanan diprioritaskan.
Rentan terhadap ancaman keamanan umum karena ketergantungan pada bentuk autentikasi sederhana seperti kata sandi (misalnya, Phishing, Serangan Man-in-the-Middle, Credential Stuffing, …)

Subscribe to our Passkeys Substack for the latest news.

AAL2: Langkah-langkah Keamanan yang Ditingkatkan#

Cocok untuk transaksi yang memerlukan keamanan lebih tinggi.
Menggabungkan faktor fisik (misalnya, token keamanan) dan faktor berbasis pengetahuan (misalnya, kata sandi) untuk memperkuat keamanan.

AAL3: Standar Keamanan Tertinggi#

Dirancang untuk lingkungan berisiko tinggi, memastikan keamanan maksimum.
Menggunakan langkah-langkah kriptografi canggih dan ketahanan perangkat keras terhadap perusakan fisik.

Peningkatan dalam AAL Terkait Passkey#

NIST menyetujui passkey yang disinkronkan (misalnya melalui iCloud Keychain) sebagai yang sesuai dengan AAL2, meningkatkan kerangka keamanan untuk entitas digital dan membuka jalan untuk adopsi passkey yang lebih luas.
Passkey juga dapat digunakan dalam skenario berisiko lebih tinggi sebagai autentikasi yang sesuai dengan AAL3, jika passkey tersebut terikat pada perangkat, tidak memungkinkan sinkronisasi passkey antar perangkat seperti pada AAL2.

Baca lebih lanjut tentang kesesuaian AAL dari passkey di blog ini.

Ben Gould

Head of Engineering

I’ve built hundreds of integrations in my time, including quite a few with identity providers and I’ve never been so impressed with a developer experience as I have been with Corbado.

3,000+ devs trust Corbado & make the Internet safer with passkeys. Got questions? We’ve written 150+ blog posts on passkeys.

Join Passkeys Community