Apa itu Tingkat Jaminan Autentikasi (AAL)?
Apa itu AAL (Tingkat Jaminan Autentikasi)?
Halaman ini diterjemahkan secara otomatis. Baca versi asli berbahasa Inggris di sini.
Apa itu AAL (Tingkat Jaminan Autentikasi)?#
Tingkat Jaminan Autentikasi (Authentication Assurance Level - AAL) mengacu pada klasifikasi yang digunakan untuk menggambarkan kekuatan dan keandalan proses autentikasi. Didefinisikan dalam Publikasi Khusus SP 800-63-3 dari NIST, AAL membantu organisasi menentukan tingkat keamanan yang sesuai untuk interaksi digital mereka.
Ada tiga tingkat AAL:
AAL1: Jaminan Dasar#
- Menawarkan tingkat kepercayaan pada autentikasi pengguna.
- Biasanya melibatkan autentikasi faktor tunggal, seperti kata sandi atau perangkat OTP.
AAL2: Jaminan Tinggi#
- Memerlukan dua faktor yang berbeda untuk autentikasi.
- Tingkat ini menangani langkah-langkah keamanan tambahan seperti resistensi replay dan waktu reautentikasi yang lebih singkat.
- Passkey yang disinkronkan sesuai dengan AAL2.
AAL3: Jaminan Sangat Tinggi#
- Melibatkan autentikasi multifaktor menggunakan autentikator berbasis perangkat keras.
- Memiliki persyaratan keamanan yang ketat termasuk resistensi peniruan verifikator dan resistensi kompromi verifikator.
- Passkey yang terikat perangkat sesuai dengan AAL3.
Setiap tingkat disesuaikan dengan kebutuhan keamanan yang berbeda, mulai dari lingkungan berisiko rendah di AAL1 hingga tuntutan keamanan tinggi di AAL3.
- Tingkat Jaminan Autentikasi (AAL) adalah ukuran kekuatan autentikasi.
- AAL1 melibatkan keamanan dasar, AAL2 meningkatkannya dengan dua faktor, dan AAL3 menawarkan keamanan tertinggi dengan autentikasi multifaktor berbasis perangkat keras.
- Persyaratan utama termasuk resistensi replay, resistensi peniruan verifikator, dan resistensi kompromi verifikator.
Berikut adalah penjelasan lebih mendalam tentang tingkat jaminan autentikasi dan implikasinya:
AAL1: Aksesibilitas dan Risiko#
- Ditujukan untuk aplikasi keamanan rendah di mana kenyamanan diprioritaskan.
- Rentan terhadap ancaman keamanan umum karena ketergantungan pada bentuk autentikasi sederhana seperti kata sandi (misalnya, Phishing, Serangan Man-in-the-Middle, Credential Stuffing, …)
Berlangganan Passkeys Substack kami untuk berita terbaru.
AAL2: Langkah-langkah Keamanan yang Ditingkatkan#
- Cocok untuk transaksi yang memerlukan keamanan lebih tinggi.
- Menggabungkan faktor fisik (misalnya, token keamanan) dan faktor berbasis pengetahuan (misalnya, kata sandi) untuk memperkuat keamanan.
AAL3: Standar Keamanan Tertinggi#
- Dirancang untuk lingkungan berisiko tinggi, memastikan keamanan maksimum.
- Menggunakan langkah-langkah kriptografi canggih dan ketahanan perangkat keras terhadap perusakan fisik.
Peningkatan dalam AAL Terkait Passkey#
- NIST menyetujui passkey yang disinkronkan (misalnya melalui iCloud Keychain) sebagai yang sesuai dengan AAL2, meningkatkan kerangka keamanan untuk entitas digital dan membuka jalan untuk adopsi passkey yang lebih luas.
- Passkey juga dapat digunakan dalam skenario berisiko lebih tinggi sebagai autentikasi yang sesuai dengan AAL3, jika passkey tersebut terikat pada perangkat, tidak memungkinkan sinkronisasi passkey antar perangkat seperti pada AAL2.
Baca lebih lanjut tentang kesesuaian AAL dari passkey di blog ini.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case studyPertanyaan Umum (FAQ) Tingkat Jaminan Autentikasi (AAL)#
Apa itu AAL1 dan kapan digunakan?#
AAL1 menyediakan keamanan autentikasi dasar, yang biasa digunakan di lingkungan berisiko rendah di mana kenyamanan pengguna menjadi prioritas.
Bagaimana AAL2 meningkatkan keamanan dibandingkan AAL1?#
AAL2 memerlukan dua faktor autentikasi yang berbeda, secara signifikan mengurangi risiko akses tidak sah dibandingkan dengan AAL1.
Apa saja persyaratan untuk AAL3?#
AAL3 adalah tingkat jaminan autentikasi tertinggi, yang melibatkan autentikator berbasis perangkat keras dan langkah-langkah keamanan yang ketat seperti resistensi peniruan verifikator.
Bagaimana Passkey memengaruhi klasifikasi AAL?#
Passkey yang disinkronkan (misalnya melalui iCloud Keychain) diklasifikasikan sebagai sesuai dengan AAL2 sementara passkey yang terikat perangkat diklasifikasikan sebagai sesuai dengan AAL3. Baca lebih lanjut tentang hal ini di blog ini.
Tentang Corbado
Corbado adalah Passkey Intelligence Platform untuk tim CIAM yang menjalankan autentikasi consumer dalam skala besar. Kami membantu Anda melihat apa yang tidak bisa ditunjukkan oleh log IDP dan tool analytics generik: device, versi OS, browser, dan credential manager mana yang mendukung passkey; mengapa enrollment tidak menjadi login; di mana flow WebAuthn gagal; dan kapan update OS atau browser diam-diam merusak login — semuanya tanpa mengganti Okta, Auth0, Ping, Cognito, atau IDP internal Anda. Dua produk: Corbado Observe menambah observability untuk passkey dan metode login lainnya. Corbado Connect menghadirkan managed passkey dengan analytics terintegrasi (berdampingan dengan IDP Anda). VicRoads menjalankan passkey untuk 5M+ pengguna dengan Corbado (aktivasi passkey +80%). Bicara dengan pakar Passkey →
Lihat bagaimana Corbado cocok dengan peluncuran passkeys dan stack autentikasi Anda saat ini.
Jelajahi Console
Bagikan artikel ini
Daftar isi
Istilah terkait
Artikel terkait
