Cos'è il Livello di Garanzia dell'Autenticazione (AAL)?

Il Livello di Garanzia dell'Autenticazione (AAL) si riferisce a una classificazione utilizzata per descrivere la robustezza e l'affidabilità dei processi di autenticazione. Definito nella Pubblicazione Speciale SP 800-63-3 del NIST, l'AAL aiuta le organizzazioni a determinare il livello di sicurezza appropriato per le loro interazioni digitali.

Esistono tre livelli di AAL:

• Offre una certa fiducia nell'autenticazione dell'utente.
• Tipicamente comporta l'autenticazione a singolo fattore, come una password o un dispositivo OTP.

• Richiede due fattori diversi per l'autenticazione.
• Questo livello affronta misure di sicurezza aggiuntive come la resistenza agli attacchi di tipo replay e tempi di riautenticazione più brevi.
• Le passkey sincronizzate sono conformi ad AAL2.

• Implica l'autenticazione a più fattori utilizzando un autenticatore basato su hardware.
• Presenta requisiti di sicurezza rigorosi, tra cui la resistenza all'impersonificazione del verificatore e la resistenza alla compromissione del verificatore.
• Le passkey vincolate al dispositivo sono conformi ad AAL3.

Ogni livello è personalizzato per diverse esigenze di sicurezza, spaziando da ambienti a basso rischio con AAL1 a requisiti di alta sicurezza con AAL3.

---

Ecco un'analisi più approfondita dei livelli di garanzia dell'autenticazione e delle loro implicazioni:

• Destinato ad applicazioni a bassa sicurezza in cui la comodità è una priorità.
• Vulnerabile alle comuni minacce alla sicurezza a causa della dipendenza da forme di autenticazione semplici come le password (es. Phishing, attacco Man-in-the-Middle, Credential Stuffing, …)

• Adatto per transazioni che richiedono una sicurezza più elevata.
• Combina fattori fisici (es. token di sicurezza) e fattori basati sulla conoscenza (es. password) per rafforzare la sicurezza.

• Progettato per ambienti ad alto rischio, garantendo la massima sicurezza.
• Utilizza misure crittografiche avanzate e resistenza hardware alla manomissione fisica.

• Il NIST approva le passkey sincronizzate (ad es. tramite Portachiavi iCloud) come conformi ad AAL2, migliorando il framework di sicurezza per le entità digitali e aprendo la strada a un'adozione più ampia delle passkey.
• Le passkey possono essere utilizzate anche in scenari a rischio più elevato come autenticazione conforme ad AAL3, se sono passkey vincolate al dispositivo, non consentendo la sincronizzazione delle passkey tra dispositivi come in AAL2.

Leggi di più sulla conformità delle passkey all'AAL in questo blog.

---

AAL1 fornisce una sicurezza di autenticazione di base, comunemente utilizzata in ambienti a basso rischio dove la comodità dell'utente è una priorità.

AAL2 richiede due diversi fattori di autenticazione, riducendo significativamente il rischio di accesso non autorizzato rispetto ad AAL1.

AAL3 è il livello più alto di garanzia dell'autenticazione, che coinvolge autenticatori basati su hardware e misure di sicurezza rigorose come la resistenza all'impersonificazione del verificatore.

Le passkey sincronizzate (ad es. tramite Portachiavi iCloud) sono classificate come conformi ad AAL2, mentre le passkey vincolate al dispositivo sono classificate come conformi ad AAL3. Leggi di più a riguardo in questo blog.