Nível de Garantia de Autenticação (AAL) refere-se a uma classificação usada para
descrever a força e a confiabilidade dos processos de
autenticação. Definido na Publicação Especial SP
800-63-3 do NIST, o
AAL ajuda as
organizações a determinar o nível apropriado de segurança para suas interações digitais.
Become part of our Passkeys Community for updates & support.
Apresenta requisitos de segurança rigorosos, incluindo resistência à falsificação de
verificador (verifier impersonation resistance) e resistência ao comprometimento do
verificador (verifier compromise resistance).
As passkeys vinculadas ao dispositivo são compatíveis com AAL3.
Cada nível é adaptado a diferentes necessidades de segurança, variando de ambientes de
baixo risco em
AAL1 a demandas
de alta segurança em AAL3.
O Nível de Garantia de Autenticação (AAL) é uma medida da força da autenticação.
O AAL1 envolve segurança básica, o AAL2 a aprimora com dois
fatores, e o AAL3 oferece a segurança mais alta com autenticação
multifator baseada em hardware.
Os requisitos principais incluem resistência a ataques de repetição (replay resistance),
resistência à falsificação de verificador (verifier impersonation resistance) e
resistência ao comprometimento do verificador (verifier compromise resistance).
Aqui está uma análise mais aprofundada dos níveis de garantia de autenticação e suas
implicações:
AAL1: Acessibilidade e Riscos#
Destinado a aplicações de baixa segurança onde a conveniência é priorizada.
Vulnerável a ameaças de segurança comuns devido à dependência de formas simples de
autenticação, como senhas (por exemplo, Phishing, ataque
Man-in-the-Middle, Credential Stuffing, …)
Subscribe to our Passkeys Substack for the latest news.
Adequado para transações que exigem maior segurança.
Combina fatores físicos (por exemplo, tokens de segurança) e baseados em conhecimento
(por exemplo, senhas) para reforçar a segurança.
AAL3: Padrões de Segurança Mais Altos#
Projetado para ambientes de alto risco, garantindo segurança máxima.
Utiliza medidas criptográficas avançadas e resistência de hardware a adulterações
físicas.
Melhorias no AAL Relacionadas a Passkeys#
O NIST aprova as passkeys sincronizadas (por exemplo, via
iCloud Keychain) como compatíveis com
AAL2, aprimorando a estrutura de segurança para entidades
digitais e abrindo caminho para uma adoção mais ampla de passkeys.
As passkeys também podem ser usadas em cenários de maior risco como autenticação
compatível com AAL3, se forem passkeys vinculadas ao dispositivo, não permitindo a
sincronização de passkeys entre dispositivos como no AAL2.
Leia mais sobre a conformidade das passkeys com o
AALneste blog.
Ben Gould
Head of Engineering
I’ve built hundreds of integrations in my time, including quite a few with identity providers and I’ve never been so impressed with a developer experience as I have been with Corbado.
Mais de 3.000 desenvolvedores confiam na Corbado e tornam a Internet mais segura com passkeys. Tem perguntas? Escrevemos mais de 150 posts de blog sobre passkeys.
Perguntas Frequentes sobre o Nível de Garantia de Autenticação (AAL)#
O que é AAL1 e quando é usado?#
O AAL1 fornece
segurança de autenticação básica, comumente usada em ambientes de baixo risco onde a
conveniência do usuário é uma prioridade.
Como o AAL2 melhora a segurança em relação ao AAL1?#
O AAL2 requer dois fatores de autenticação diferentes, reduzindo
significativamente o risco de acesso não autorizado em comparação com o
AAL1.
Quais são os requisitos para o AAL3?#
O AAL3 é o nível mais alto de garantia de autenticação, envolvendo
autenticadores baseados em hardware e medidas de segurança
rigorosas, como resistência à falsificação de verificador.
Como as Passkeys impactam as classificações AAL?#
As passkeys sincronizadas (por exemplo, via iCloud Keychain)
são classificadas como compatíveis com AAL2, enquanto as passkeys vinculadas ao
dispositivo são classificadas como compatíveis com AAL3. Leia mais sobre isso
neste blog.
Add passkeys to your app in <1 hour with our UI components, SDKs & guides.