Cos'è il Livello di Garanzia dell'Autenticazione (AAL)?
Cos'è l'AAL (Livello di Garanzia dell'Autenticazione)?
Questa pagina è stata tradotta automaticamente. Leggi la versione originale in inglese qui.
Cos'è l'AAL (Livello di Garanzia dell'Autenticazione)?#
Il Livello di Garanzia dell'Autenticazione (AAL) si riferisce a una classificazione utilizzata per descrivere la robustezza e l'affidabilità dei processi di autenticazione. Definito nella Pubblicazione Speciale SP 800-63-3 del NIST, l'AAL aiuta le organizzazioni a determinare il livello di sicurezza appropriato per le loro interazioni digitali.
Esistono tre livelli di AAL:
AAL1: Garanzia di Base#
- Offre una certa fiducia nell'autenticazione dell'utente.
- Tipicamente comporta l'autenticazione a singolo fattore, come una password o un dispositivo OTP.
AAL2: Garanzia Elevata#
- Richiede due fattori diversi per l'autenticazione.
- Questo livello affronta misure di sicurezza aggiuntive come la resistenza agli attacchi di tipo replay e tempi di riautenticazione più brevi.
- Le passkey sincronizzate sono conformi ad AAL2.
AAL3: Garanzia Molto Elevata#
- Implica l'autenticazione a più fattori utilizzando un autenticatore basato su hardware.
- Presenta requisiti di sicurezza rigorosi, tra cui la resistenza all'impersonificazione del verificatore e la resistenza alla compromissione del verificatore.
- Le passkey vincolate al dispositivo sono conformi ad AAL3.
Ogni livello è personalizzato per diverse esigenze di sicurezza, spaziando da ambienti a basso rischio con AAL1 a requisiti di alta sicurezza con AAL3.
- Il Livello di Garanzia dell'Autenticazione (AAL) è una misura della robustezza dell'autenticazione.
- AAL1 comporta una sicurezza di base, AAL2 la migliora con due fattori e AAL3 offre la massima sicurezza con l'autenticazione a più fattori basata su hardware.
- I requisiti chiave includono la resistenza agli attacchi di tipo replay, la resistenza all'impersonificazione del verificatore e la resistenza alla compromissione del verificatore.
Ecco un'analisi più approfondita dei livelli di garanzia dell'autenticazione e delle loro implicazioni:
AAL1: Accessibilità e Rischi#
- Destinato ad applicazioni a bassa sicurezza in cui la comodità è una priorità.
- Vulnerabile alle comuni minacce alla sicurezza a causa della dipendenza da forme di autenticazione semplici come le password (es. Phishing, attacco Man-in-the-Middle, Credential Stuffing, …)
Iscriviti al nostro Substack sulle passkey per le ultime novità.
AAL2: Misure di Sicurezza Avanzate#
- Adatto per transazioni che richiedono una sicurezza più elevata.
- Combina fattori fisici (es. token di sicurezza) e fattori basati sulla conoscenza (es. password) per rafforzare la sicurezza.
AAL3: Standard di Sicurezza Massimi#
- Progettato per ambienti ad alto rischio, garantendo la massima sicurezza.
- Utilizza misure crittografiche avanzate e resistenza hardware alla manomissione fisica.
Miglioramenti nell'AAL relativi alle Passkey#
- Il NIST approva le passkey sincronizzate (ad es. tramite Portachiavi iCloud) come conformi ad AAL2, migliorando il framework di sicurezza per le entità digitali e aprendo la strada a un'adozione più ampia delle passkey.
- Le passkey possono essere utilizzate anche in scenari a rischio più elevato come autenticazione conforme ad AAL3, se sono passkey vincolate al dispositivo, non consentendo la sincronizzazione delle passkey tra dispositivi come in AAL2.
Leggi di più sulla conformità delle passkey all'AAL in questo blog.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case studyDomande Frequenti sul Livello di Garanzia dell'Autenticazione (AAL)#
Cos'è AAL1 e quando viene utilizzato?#
AAL1 fornisce una sicurezza di autenticazione di base, comunemente utilizzata in ambienti a basso rischio dove la comodità dell'utente è una priorità.
In che modo AAL2 migliora la sicurezza rispetto ad AAL1?#
AAL2 richiede due diversi fattori di autenticazione, riducendo significativamente il rischio di accesso non autorizzato rispetto ad AAL1.
Quali sono i requisiti per AAL3?#
AAL3 è il livello più alto di garanzia dell'autenticazione, che coinvolge autenticatori basati su hardware e misure di sicurezza rigorose come la resistenza all'impersonificazione del verificatore.
In che modo le Passkey influenzano le classificazioni AAL?#
Le passkey sincronizzate (ad es. tramite Portachiavi iCloud) sono classificate come conformi ad AAL2, mentre le passkey vincolate al dispositivo sono classificate come conformi ad AAL3. Leggi di più a riguardo in questo blog.
Chi siamo
Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →
Scopri come Corbado si integra con la tua distribuzione di passkey e con lo stack di autenticazione esistente.
Esplora la Console
Condividi questo articolo
Indice
Termini correlati
Articoli correlati
