Kimlik Doğrulama Güvence Seviyesi (AAL),
kimlik doğrulama süreçlerinin gücünü ve
güvenilirliğini tanımlamak için kullanılan bir sınıflandırmayı ifade eder.
NIST'in Özel Yayını SP 800-63-3'te tanımlanan
AAL,
kuruluşların dijital etkileşimleri için uygun güvenlik seviyesini belirlemelerine yardımcı
olur.
Become part of our Passkeys Community for updates & support.
Her seviye,
AAL1'deki düşük
riskli ortamlardan AAL3'teki yüksek güvenlik taleplerine kadar
farklı güvenlik ihtiyaçlarına göre uyarlanmıştır.
Kimlik Doğrulama Güvence Seviyesi (AAL), kimlik doğrulama gücünün bir ölçüsüdür.
AAL1 temel güvenliği içerir, AAL2 bunu iki faktörle geliştirir ve
AAL3 çok faktörlü donanım tabanlı kimlik doğrulama ile en yüksek
güvenliği sunar.
Temel gereksinimler arasında yeniden oynatma saldırılarına karşı direnç, doğrulayıcı
taklidine karşı direnç ve doğrulayıcı güvenliğinin ihlaline karşı direnç bulunur.
İşte kimlik doğrulama güvence seviyeleri ve bunların etkilerine daha derinlemesine bir
bakış:
AAL1: Erişilebilirlik ve Riskler#
Kolaylığın öncelikli olduğu düşük güvenlikli uygulamalara yöneliktir.
Parolalar gibi basit kimlik doğrulama biçimlerine dayanması nedeniyle yaygın güvenlik
tehditlerine (ör. Phishing, Ortadaki Adam Saldırısı,
Credential Stuffing, …) karşı savunmasızdır.
Subscribe to our Passkeys Substack for the latest news.
Daha yüksek güvenlik gerektiren işlemler için uygundur.
Güvenliği artırmak için fiziksel (ör. güvenlik anahtarları) ve bilgi tabanlı faktörleri
(ör. parolalar) birleştirir.
AAL3: En Yüksek Güvenlik Standartları#
Maksimum güvenlik sağlayarak yüksek riskli ortamlar için tasarlanmıştır.
Gelişmiş kriptografik önlemler ve fiziksel müdahaleye karşı donanım direnci kullanır.
Geçiş Anahtarlarıyla İlgili AAL Geliştirmeleri#
NIST, senkronize edilmiş geçiş anahtarlarını (ör.
iCloud Keychain aracılığıyla) AAL2
uyumlu olarak onaylayarak dijital varlıklar için güvenlik çerçevesini geliştirir ve
geçiş anahtarlarının daha geniş çapta benimsenmesinin önünü açar.
Geçiş anahtarları, AAL2'de olduğu gibi cihazlar arasında geçiş
anahtarı senkronizasyonuna izin vermeyen, cihaza bağlı geçiş anahtarları olmaları
durumunda, AAL3 uyumlu kimlik doğrulama olarak daha yüksek riskli senaryolarda da
kullanılabilir.
Geçiş anahtarlarının
AAL uyumluluğu
hakkında daha fazla bilgiyi
bu blog yazısında okuyun.
Ben Gould
Head of Engineering
I’ve built hundreds of integrations in my time, including quite a few with identity providers and I’ve never been so impressed with a developer experience as I have been with Corbado.
3.000'den fazla geliştirici Corbado'ya güveniyor ve geçiş anahtarlarıyla İnternet'i daha güvenli hale getiriyor. Sorularınız mı var? Geçiş anahtarları üzerine 150'den fazla blog yazısı yazdık.
AAL1,
genellikle kullanıcı kolaylığının öncelikli olduğu düşük riskli ortamlarda kullanılan
temel kimlik doğrulama güvenliği sağlar.
AAL2, AAL1'e göre güvenliği nasıl artırır?#
AAL2, iki farklı kimlik doğrulama faktörü gerektirir ve
AAL1'e kıyasla
yetkisiz erişim riskini önemli ölçüde azaltır.
AAL3 için gereksinimler nelerdir?#
AAL3, donanım tabanlı
kimlik doğrulayıcılar ve doğrulayıcı taklidine karşı direnç
gibi sıkı güvenlik önlemleri içeren en yüksek kimlik doğrulama güvence seviyesidir.
Geçiş Anahtarları AAL sınıflandırmalarını nasıl etkiler?#
Senkronize edilmiş geçiş anahtarları (ör. iCloud Keychain
aracılığıyla) AAL2 olarak sınıflandırılırken, cihaza bağlı geçiş anahtarları AAL3 uyumlu
olarak sınıflandırılır. Bu konuda daha fazla bilgiyi
bu blog yazısında okuyun.
Add passkeys to your app in <1 hour with our UI components, SDKs & guides.