O que é o Nível de Garantia de Autenticação (AAL)?

Nível de Garantia de Autenticação (AAL) refere-se a uma classificação usada para descrever a força e a confiabilidade dos processos de autenticação. Definido na Publicação Especial SP 800-63-3 do NIST, o AAL ajuda as organizações a determinar o nível apropriado de segurança para suas interações digitais.

Existem três níveis de AAL:

• Oferece alguma confiança na autenticação do usuário.
• Normalmente envolve autenticação de fator único, como uma senha ou um dispositivo OTP.

• Requer dois fatores diferentes para a autenticação.
• Este nível aborda medidas de segurança adicionais, como resistência a ataques de repetição (replay resistance) e tempos de reautenticação mais curtos.
• As passkeys sincronizadas são compatíveis com AAL2.

• Envolve autenticação multifator usando um autenticador baseado em hardware.
• Apresenta requisitos de segurança rigorosos, incluindo resistência à falsificação de verificador (verifier impersonation resistance) e resistência ao comprometimento do verificador (verifier compromise resistance).
• As passkeys vinculadas ao dispositivo são compatíveis com AAL3.

Cada nível é adaptado a diferentes necessidades de segurança, variando de ambientes de baixo risco em AAL1 a demandas de alta segurança em AAL3.

---

Aqui está uma análise mais aprofundada dos níveis de garantia de autenticação e suas implicações:

• Destinado a aplicações de baixa segurança onde a conveniência é priorizada.
• Vulnerável a ameaças de segurança comuns devido à dependência de formas simples de autenticação, como senhas (por exemplo, Phishing, ataque Man-in-the-Middle, Credential Stuffing, …)

• Adequado para transações que exigem maior segurança.
• Combina fatores físicos (por exemplo, tokens de segurança) e baseados em conhecimento (por exemplo, senhas) para reforçar a segurança.

• Projetado para ambientes de alto risco, garantindo segurança máxima.
• Utiliza medidas criptográficas avançadas e resistência de hardware a adulterações físicas.

• O NIST aprova as passkeys sincronizadas (por exemplo, via iCloud Keychain) como compatíveis com AAL2, aprimorando a estrutura de segurança para entidades digitais e abrindo caminho para uma adoção mais ampla de passkeys.
• As passkeys também podem ser usadas em cenários de maior risco como autenticação compatível com AAL3, se forem passkeys vinculadas ao dispositivo, não permitindo a sincronização de passkeys entre dispositivos como no AAL2.

Leia mais sobre a conformidade das passkeys com o AAL neste blog.

---

O AAL1 fornece segurança de autenticação básica, comumente usada em ambientes de baixo risco onde a conveniência do usuário é uma prioridade.

O AAL2 requer dois fatores de autenticação diferentes, reduzindo significativamente o risco de acesso não autorizado em comparação com o AAL1.

O AAL3 é o nível mais alto de garantia de autenticação, envolvendo autenticadores baseados em hardware e medidas de segurança rigorosas, como resistência à falsificação de verificador.

As passkeys sincronizadas (por exemplo, via iCloud Keychain) são classificadas como compatíveis com AAL2, enquanto as passkeys vinculadas ao dispositivo são classificadas como compatíveis com AAL3. Leia mais sobre isso neste blog.