Tingkat Jaminan Autentikasi (Authentication Assurance Level - AAL) mengacu pada
klasifikasi yang digunakan untuk menggambarkan kekuatan dan keandalan proses autentikasi.
Didefinisikan dalam Publikasi Khusus SP 800-63-3 dari NIST,
AAL membantu
organisasi menentukan tingkat keamanan yang
sesuai untuk interaksi digital mereka.
Become part of our Passkeys Community for updates & support.
Melibatkan autentikasi multifaktor menggunakan autentikator berbasis perangkat keras.
Memiliki persyaratan keamanan yang ketat
termasuk resistensi peniruan verifikator dan resistensi kompromi verifikator.
Passkey yang terikat perangkat sesuai dengan AAL3.
Setiap tingkat disesuaikan dengan kebutuhan keamanan yang berbeda, mulai dari lingkungan
berisiko rendah diAAL1 hingga
tuntutan keamanan tinggi diAAL3.
Tingkat Jaminan Autentikasi (AAL) adalah ukuran kekuatan autentikasi.
AAL1
melibatkan keamanan dasar, AAL2 meningkatkannya dengan dua
faktor, dan AAL3 menawarkan keamanan tertinggi dengan autentikasi
multifaktor berbasis perangkat keras.
Persyaratan utama termasuk resistensi replay, resistensi peniruan verifikator, dan
resistensi kompromi verifikator.
Berikut adalah penjelasan lebih mendalam tentang tingkat jaminan autentikasi dan
implikasinya:
AAL1: Aksesibilitas dan Risiko#
Ditujukan untuk aplikasi keamanan rendah di mana kenyamanan
diprioritaskan.
Rentan terhadap ancaman keamanan umum karena ketergantungan pada bentuk autentikasi
sederhana seperti kata sandi (misalnya, Phishing, Serangan
Man-in-the-Middle, Credential Stuffing, …)
Subscribe to our Passkeys Substack for the latest news.
Cocok untuk transaksi yang memerlukan keamanan lebih tinggi.
Menggabungkan faktor fisik (misalnya, token keamanan) dan faktor berbasis pengetahuan
(misalnya, kata sandi) untuk memperkuat keamanan.
AAL3: Standar Keamanan Tertinggi#
Dirancang untuk lingkungan berisiko tinggi, memastikan keamanan maksimum.
Menggunakan langkah-langkah kriptografi canggih dan ketahanan perangkat keras terhadap
perusakan fisik.
Peningkatan dalam AAL Terkait Passkey#
NIST menyetujui passkey yang disinkronkan (misalnya melalui
iCloud Keychain) sebagai yang sesuai dengan
AAL2, meningkatkan kerangka keamanan untuk entitas digital dan
membuka jalan untuk adopsi passkey
yang lebih luas.
Passkey juga dapat digunakan dalam skenario berisiko lebih tinggi sebagai autentikasi
yang sesuai dengan AAL3, jika passkey tersebut terikat pada perangkat, tidak
memungkinkan sinkronisasi passkey antar perangkat seperti pada AAL2.
Baca lebih lanjut tentang kesesuaian
AAL dari
passkey di blog ini.
Ben Gould
Head of Engineering
I’ve built hundreds of integrations in my time, including quite a few with identity providers and I’ve never been so impressed with a developer experience as I have been with Corbado.
3,000+ devs trust Corbado & make the Internet safer with passkeys. Got questions? We’ve written 150+ blog posts on passkeys.
Pertanyaan Umum (FAQ) Tingkat Jaminan Autentikasi (AAL)#
Apa itu AAL1 dan kapan digunakan?#
AAL1
menyediakan keamanan autentikasi dasar, yang biasa digunakan di lingkungan berisiko rendah
di mana kenyamanan pengguna menjadi prioritas.
Bagaimana AAL2 meningkatkan keamanan dibandingkan AAL1?#
AAL2 memerlukan dua faktor autentikasi yang berbeda, secara signifikan mengurangi risiko
akses tidak sah dibandingkan dengan AAL1.
Apa saja persyaratan untuk AAL3?#
AAL3 adalah tingkat jaminan autentikasi tertinggi, yang melibatkan autentikator berbasis
perangkat keras dan langkah-langkah keamanan yang ketat seperti resistensi peniruan
verifikator.
Bagaimana Passkey memengaruhi klasifikasi AAL?#
Passkey yang disinkronkan (misalnya melalui iCloud Keychain)
diklasifikasikan sebagai sesuai dengan AAL2 sementara passkey yang terikat perangkat
diklasifikasikan sebagai sesuai dengan AAL3. Baca lebih lanjut tentang hal ini di blog
ini.
Add passkeys to your app in <1 hour with our UI components, SDKs & guides.