Kimlik Doğrulama Güvence Seviyesi (AAL) Nedir?
AAL (Kimlik Doğrulama Güvence Seviyesi) Nedir?
Bu sayfa otomatik olarak çevrildi. Orijinal İngilizce sürümü buradan okuyun.
AAL (Kimlik Doğrulama Güvence Seviyesi) Nedir?#
Kimlik Doğrulama Güvence Seviyesi (AAL), kimlik doğrulama süreçlerinin gücünü ve güvenilirliğini tanımlamak için kullanılan bir sınıflandırmayı ifade eder. NIST'in Özel Yayını SP 800-63-3'te tanımlanan AAL, kuruluşların dijital etkileşimleri için uygun güvenlik seviyesini belirlemelerine yardımcı olur.
Üç seviyede AAL bulunur:
AAL1: Temel Güvence#
- Kullanıcı kimlik doğrulamasına yönelik bir miktar güven sunar.
- Genellikle parola veya OTP cihazı gibi tek faktörlü kimlik doğrulama içerir.
AAL2: Yüksek Güvence#
- Kimlik doğrulama için iki farklı faktör gerektirir.
- Bu seviye, yeniden oynatma saldırılarına karşı direnç ve daha kısa yeniden kimlik doğrulama süreleri gibi ek güvenlik önlemlerini ele alır.
- Senkronize edilmiş geçiş anahtarları AAL2 uyumludur.
AAL3: Çok Yüksek Güvence#
- Donanım tabanlı bir kimlik doğrulayıcı kullanılarak çok faktörlü kimlik doğrulama içerir.
- Doğrulayıcı taklidine karşı direnç ve doğrulayıcı güvenliğinin ihlaline karşı direnç dahil olmak üzere sıkı güvenlik gereksinimleri içerir.
- Cihaza bağlı geçiş anahtarları AAL3 uyumludur.
Her seviye, AAL1'deki düşük riskli ortamlardan AAL3'teki yüksek güvenlik taleplerine kadar farklı güvenlik ihtiyaçlarına göre uyarlanmıştır.
- Kimlik Doğrulama Güvence Seviyesi (AAL), kimlik doğrulama gücünün bir ölçüsüdür.
- AAL1 temel güvenliği içerir, AAL2 bunu iki faktörle geliştirir ve AAL3 çok faktörlü donanım tabanlı kimlik doğrulama ile en yüksek güvenliği sunar.
- Temel gereksinimler arasında yeniden oynatma saldırılarına karşı direnç, doğrulayıcı taklidine karşı direnç ve doğrulayıcı güvenliğinin ihlaline karşı direnç bulunur.
İşte kimlik doğrulama güvence seviyeleri ve bunların etkilerine daha derinlemesine bir bakış:
AAL1: Erişilebilirlik ve Riskler#
- Kolaylığın öncelikli olduğu düşük güvenlikli uygulamalara yöneliktir.
- Parolalar gibi basit kimlik doğrulama biçimlerine dayanması nedeniyle yaygın güvenlik tehditlerine (ör. Phishing, Ortadaki Adam Saldırısı, Credential Stuffing, …) karşı savunmasızdır.
Son haberler için Passkeys Substack'e abone olun.
AAL2: Gelişmiş Güvenlik Önlemleri#
- Daha yüksek güvenlik gerektiren işlemler için uygundur.
- Güvenliği artırmak için fiziksel (ör. güvenlik anahtarları) ve bilgi tabanlı faktörleri (ör. parolalar) birleştirir.
AAL3: En Yüksek Güvenlik Standartları#
- Maksimum güvenlik sağlayarak yüksek riskli ortamlar için tasarlanmıştır.
- Gelişmiş kriptografik önlemler ve fiziksel müdahaleye karşı donanım direnci kullanır.
Geçiş Anahtarlarıyla İlgili AAL Geliştirmeleri#
- NIST, senkronize edilmiş geçiş anahtarlarını (ör. iCloud Keychain aracılığıyla) AAL2 uyumlu olarak onaylayarak dijital varlıklar için güvenlik çerçevesini geliştirir ve geçiş anahtarlarının daha geniş çapta benimsenmesinin önünü açar.
- Geçiş anahtarları, AAL2'de olduğu gibi cihazlar arasında geçiş anahtarı senkronizasyonuna izin vermeyen, cihaza bağlı geçiş anahtarları olmaları durumunda, AAL3 uyumlu kimlik doğrulama olarak daha yüksek riskli senaryolarda da kullanılabilir.
Geçiş anahtarlarının AAL uyumluluğu hakkında daha fazla bilgiyi bu blog yazısında okuyun.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case studyKimlik Doğrulama Güvence Seviyesi (AAL) SSS#
AAL1 nedir ve ne zaman kullanılır?#
AAL1, genellikle kullanıcı kolaylığının öncelikli olduğu düşük riskli ortamlarda kullanılan temel kimlik doğrulama güvenliği sağlar.
AAL2, AAL1'e göre güvenliği nasıl artırır?#
AAL2, iki farklı kimlik doğrulama faktörü gerektirir ve AAL1'e kıyasla yetkisiz erişim riskini önemli ölçüde azaltır.
AAL3 için gereksinimler nelerdir?#
AAL3, donanım tabanlı kimlik doğrulayıcılar ve doğrulayıcı taklidine karşı direnç gibi sıkı güvenlik önlemleri içeren en yüksek kimlik doğrulama güvence seviyesidir.
Geçiş Anahtarları AAL sınıflandırmalarını nasıl etkiler?#
Senkronize edilmiş geçiş anahtarları (ör. iCloud Keychain aracılığıyla) AAL2 olarak sınıflandırılırken, cihaza bağlı geçiş anahtarları AAL3 uyumlu olarak sınıflandırılır. Bu konuda daha fazla bilgiyi bu blog yazısında okuyun.
Corbado Hakkında
Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Passkey Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün →
Corbado’nun passkey geçiş sürecinize ve mevcut authentication stack’inize nasıl uyduğunu görün.
Console’u keşfet
Bu makaleyi paylaş
İçindekiler
İlgili terimler
İlgili makaleler
