Что такое уровень гарантии аутентификации (AAL)?

Уровень гарантии аутентификации (AAL) — это классификация, используемая для описания надежности и достоверности процессов аутентификации. Определенный в специальной публикации NIST SP 800-63-3, AAL помогает организациям определить соответствующий уровень безопасности для их цифровых взаимодействий.

Существует три уровня AAL:

• Предлагает определенную степень уверенности в аутентификации пользователя.
• Обычно включает однофакторную аутентификацию, например, пароль или OTP-устройство.

• Требует два различных фактора для аутентификации.
• Этот уровень включает дополнительные меры безопасности, такие как защита от атак повторного воспроизведения и сокращенное время повторной аутентификации.
• Синхронизируемые ключи доступа (passkeys) соответствуют AAL2.

• Включает многофакторную аутентификацию с использованием аппаратного аутентификатора.
• Отличается строгими требованиями безопасности, включая защиту от имперсонации верификатора и защиту от компрометации верификатора.
• Ключи доступа, привязанные к устройству, соответствуют AAL3.

Каждый уровень адаптирован к различным потребностям в безопасности, от сред с низким уровнем риска на AAL1 до высоких требований к безопасности на AAL3.

---

Давайте подробнее рассмотрим уровни гарантии аутентификации и их значение:

• Предназначен для приложений с низким уровнем безопасности, где удобство является приоритетом.
• Уязвим для распространенных угроз безопасности из-за использования простых форм аутентификации, таких как пароли (например, фишинг, атака «человек посередине», подстановка учетных данных и т. д.)

• Подходит для транзакций, требующих более высокого уровня безопасности.
• Сочетает физические (например, токены безопасности) и основанные на знаниях (например, пароли) факторы для усиления безопасности.

• Разработан для сред с высоким риском, обеспечивая максимальную безопасность.
• Использует передовые криптографические меры и аппаратную защиту от физического взлома.

• NIST одобряет синхронизируемые ключи доступа (например, через iCloud Keychain) как соответствующие AAL2, что улучшает структуру безопасности для цифровых сущностей и открывает путь для более широкого внедрения ключей доступа.
• Ключи доступа также могут использоваться в сценариях с более высоким риском как аутентификация, соответствующая AAL3, если это ключи, привязанные к устройству, не допускающие синхронизации между устройствами, как в AAL2.

Подробнее о соответствии ключей доступа требованиям AAL читайте в этом блоге.

---

AAL1 обеспечивает базовую безопасность аутентификации и обычно используется в средах с низким уровнем риска, где приоритетом является удобство пользователя.

AAL2 требует два различных фактора аутентификации, что значительно снижает риск несанкционированного доступа по сравнению с AAL1.

AAL3 — это наивысший уровень гарантии аутентификации, включающий аппаратные аутентификаторы и строгие меры безопасности, такие как защита от имперсонации верификатора.

Синхронизируемые ключи доступа (например, через iCloud Keychain) классифицируются как соответствующие AAL2, в то время как ключи, привязанные к устройству, соответствуют AAL3. Подробнее об этом читайте в этом блоге.