Apa itu Tingkat Jaminan Autentikasi (AAL)?

Tingkat Jaminan Autentikasi (Authentication Assurance Level - AAL) mengacu pada klasifikasi yang digunakan untuk menggambarkan kekuatan dan keandalan proses autentikasi. Didefinisikan dalam Publikasi Khusus SP 800-63-3 dari NIST, AAL membantu organisasi menentukan tingkat keamanan yang sesuai untuk interaksi digital mereka.

Ada tiga tingkat AAL:

• Menawarkan tingkat kepercayaan pada autentikasi pengguna.
• Biasanya melibatkan autentikasi faktor tunggal, seperti kata sandi atau perangkat OTP.

• Memerlukan dua faktor yang berbeda untuk autentikasi.
• Tingkat ini menangani langkah-langkah keamanan tambahan seperti resistensi replay dan waktu reautentikasi yang lebih singkat.
• Passkey yang disinkronkan sesuai dengan AAL2.

• Melibatkan autentikasi multifaktor menggunakan autentikator berbasis perangkat keras.
• Memiliki persyaratan keamanan yang ketat termasuk resistensi peniruan verifikator dan resistensi kompromi verifikator.
• Passkey yang terikat perangkat sesuai dengan AAL3.

Setiap tingkat disesuaikan dengan kebutuhan keamanan yang berbeda, mulai dari lingkungan berisiko rendah di AAL1 hingga tuntutan keamanan tinggi di AAL3.

---

Berikut adalah penjelasan lebih mendalam tentang tingkat jaminan autentikasi dan implikasinya:

• Ditujukan untuk aplikasi keamanan rendah di mana kenyamanan diprioritaskan.
• Rentan terhadap ancaman keamanan umum karena ketergantungan pada bentuk autentikasi sederhana seperti kata sandi (misalnya, Phishing, Serangan Man-in-the-Middle, Credential Stuffing, …)

• Cocok untuk transaksi yang memerlukan keamanan lebih tinggi.
• Menggabungkan faktor fisik (misalnya, token keamanan) dan faktor berbasis pengetahuan (misalnya, kata sandi) untuk memperkuat keamanan.

• Dirancang untuk lingkungan berisiko tinggi, memastikan keamanan maksimum.
• Menggunakan langkah-langkah kriptografi canggih dan ketahanan perangkat keras terhadap perusakan fisik.

• NIST menyetujui passkey yang disinkronkan (misalnya melalui iCloud Keychain) sebagai yang sesuai dengan AAL2, meningkatkan kerangka keamanan untuk entitas digital dan membuka jalan untuk adopsi passkey yang lebih luas.
• Passkey juga dapat digunakan dalam skenario berisiko lebih tinggi sebagai autentikasi yang sesuai dengan AAL3, jika passkey tersebut terikat pada perangkat, tidak memungkinkan sinkronisasi passkey antar perangkat seperti pada AAL2.

Baca lebih lanjut tentang kesesuaian AAL dari passkey di blog ini.

---

AAL1 menyediakan keamanan autentikasi dasar, yang biasa digunakan di lingkungan berisiko rendah di mana kenyamanan pengguna menjadi prioritas.

AAL2 memerlukan dua faktor autentikasi yang berbeda, secara signifikan mengurangi risiko akses tidak sah dibandingkan dengan AAL1.

AAL3 adalah tingkat jaminan autentikasi tertinggi, yang melibatkan autentikator berbasis perangkat keras dan langkah-langkah keamanan yang ketat seperti resistensi peniruan verifikator.

Passkey yang disinkronkan (misalnya melalui iCloud Keychain) diklasifikasikan sebagai sesuai dengan AAL2 sementara passkey yang terikat perangkat diklasifikasikan sebagai sesuai dengan AAL3. Baca lebih lanjut tentang hal ini di blog ini.