Mức độ Đảm bảo Xác thực (AAL) là gì?

Mức độ Đảm bảo Xác thực (Authentication Assurance Level - AAL) là một cách phân loại được sử dụng để mô tả độ mạnh và độ tin cậy của các quy trình xác thực. Được định nghĩa trong Ấn phẩm Đặc biệt SP 800-63-3 của NIST, AAL giúp các tổ chức xác định mức độ bảo mật phù hợp cho các tương tác kỹ thuật số của họ.

Có ba cấp độ của AAL:

• Cung cấp một mức độ tin cậy nhất định vào việc xác thực người dùng.
• Thường liên quan đến xác thực một yếu tố, chẳng hạn như mật khẩu hoặc thiết bị OTP.

• Yêu cầu hai yếu tố khác nhau để xác thực.
• Cấp độ này giải quyết các biện pháp bảo mật bổ sung như chống tấn công phát lại (replay resistance) và thời gian tái xác thực ngắn hơn.
• Passkey được đồng bộ hóa tuân thủ AAL2.

• Liên quan đến xác thực đa yếu tố sử dụng một trình xác thực dựa trên phần cứng.
• Có các yêu cầu bảo mật nghiêm ngặt bao gồm chống giả mạo trình xác minh và chống xâm phạm trình xác minh.
• Passkey liên kết với thiết bị tuân thủ AAL3.

Mỗi cấp độ được điều chỉnh cho các nhu cầu bảo mật khác nhau, từ môi trường rủi ro thấp ở AAL1 đến các yêu cầu bảo mật cao ở AAL3.

---

Đây là một cái nhìn sâu hơn về các mức độ đảm bảo xác thực và ý nghĩa của chúng:

• Hướng đến các ứng dụng bảo mật thấp nơi sự tiện lợi được ưu tiên.
• Dễ bị tổn thương trước các mối đe dọa bảo mật phổ biến do phụ thuộc vào các hình thức xác thực đơn giản như mật khẩu (ví dụ: Lừa đảo (Phishing), Tấn công xen giữa (Man-in-the-Middle), Nhồi thông tin xác thực (Credential Stuffing), …)

• Phù hợp cho các giao dịch yêu cầu bảo mật cao hơn.
• Kết hợp các yếu tố vật lý (ví dụ: token bảo mật) và các yếu tố dựa trên kiến thức (ví dụ: mật khẩu) để tăng cường bảo mật.

• Được thiết kế cho các môi trường rủi ro cao, đảm bảo an ninh tối đa.
• Sử dụng các biện pháp mật mã tiên tiến và khả năng chống lại sự can thiệp vật lý của phần cứng.

• NIST chấp thuận passkey được đồng bộ hóa (ví dụ: qua Chuỗi khóa iCloud) là tuân thủ AAL2, nâng cao khung bảo mật cho các thực thể kỹ thuật số và mở đường cho việc áp dụng passkey rộng rãi hơn.
• Passkey cũng có thể được sử dụng trong các kịch bản rủi ro cao hơn dưới dạng xác thực tuân thủ AAL3, nếu chúng là passkey liên kết với thiết bị, không cho phép đồng bộ hóa passkey trên các thiết bị như ở AAL2.

Đọc thêm về sự tuân thủ AAL của passkey trong blog này.

---

AAL1 cung cấp bảo mật xác thực cơ bản, thường được sử dụng trong các môi trường rủi ro thấp nơi sự tiện lợi của người dùng được ưu tiên.

AAL2 yêu cầu hai yếu tố xác thực khác nhau, giúp giảm đáng kể nguy cơ truy cập trái phép so với AAL1.

AAL3 là mức độ đảm bảo xác thực cao nhất, bao gồm các trình xác thực dựa trên phần cứng và các biện pháp bảo mật nghiêm ngặt như chống giả mạo trình xác minh.

Passkey được đồng bộ hóa (ví dụ: qua Chuỗi khóa iCloud) được phân loại là AAL2 trong khi passkey liên kết với thiết bị được phân loại là tuân thủ AAL3. Đọc thêm về nó trong blog này.