Mức độ Đảm bảo Xác thực (AAL) là gì?

AAL (Mức độ Đảm bảo Xác thực) là gì?#

Mức độ Đảm bảo Xác thực (Authentication Assurance Level - AAL) là một cách phân loại được sử dụng để mô tả độ mạnh và độ tin cậy của các quy trình xác thực. Được định nghĩa trong Ấn phẩm Đặc biệt SP 800-63-3 của NIST, AAL giúp các tổ chức xác định mức độ bảo mật phù hợp cho các tương tác kỹ thuật số của họ.

Có ba cấp độ của AAL:

AAL1: Đảm bảo Cơ bản#

• Cung cấp một mức độ tin cậy nhất định vào việc xác thực người dùng.
• Thường liên quan đến xác thực một yếu tố, chẳng hạn như mật khẩu hoặc thiết bị OTP.

AAL2: Đảm bảo Cao#

• Yêu cầu hai yếu tố khác nhau để xác thực.
• Cấp độ này giải quyết các biện pháp bảo mật bổ sung như chống tấn công phát lại (replay resistance) và thời gian tái xác thực ngắn hơn.
• Passkey được đồng bộ hóa tuân thủ AAL2.

AAL3: Đảm bảo Rất Cao#

• Liên quan đến xác thực đa yếu tố sử dụng một trình xác thực dựa trên phần cứng.
• Có các yêu cầu bảo mật nghiêm ngặt bao gồm chống giả mạo trình xác minh và chống xâm phạm trình xác minh.
• Passkey liên kết với thiết bị tuân thủ AAL3.

Mỗi cấp độ được điều chỉnh cho các nhu cầu bảo mật khác nhau, từ môi trường rủi ro thấp ở AAL1 đến các yêu cầu bảo mật cao ở AAL3.

---

Đây là một cái nhìn sâu hơn về các mức độ đảm bảo xác thực và ý nghĩa của chúng:

AAL1: Khả năng truy cập và Rủi ro#

• Hướng đến các ứng dụng bảo mật thấp nơi sự tiện lợi được ưu tiên.
• Dễ bị tổn thương trước các mối đe dọa bảo mật phổ biến do phụ thuộc vào các hình thức xác thực đơn giản như mật khẩu (ví dụ: Lừa đảo (Phishing), Tấn công xen giữa (Man-in-the-Middle), Nhồi thông tin xác thực (Credential Stuffing), …)

AAL2: Các biện pháp bảo mật nâng cao#

• Phù hợp cho các giao dịch yêu cầu bảo mật cao hơn.
• Kết hợp các yếu tố vật lý (ví dụ: token bảo mật) và các yếu tố dựa trên kiến thức (ví dụ: mật khẩu) để tăng cường bảo mật.

AAL3: Tiêu chuẩn bảo mật cao nhất#

• Được thiết kế cho các môi trường rủi ro cao, đảm bảo an ninh tối đa.
• Sử dụng các biện pháp mật mã tiên tiến và khả năng chống lại sự can thiệp vật lý của phần cứng.

Các cải tiến trong AAL liên quan đến Passkey#

• NIST chấp thuận passkey được đồng bộ hóa (ví dụ: qua Chuỗi khóa iCloud) là tuân thủ AAL2, nâng cao khung bảo mật cho các thực thể kỹ thuật số và mở đường cho việc áp dụng passkey rộng rãi hơn.
• Passkey cũng có thể được sử dụng trong các kịch bản rủi ro cao hơn dưới dạng xác thực tuân thủ AAL3, nếu chúng là passkey liên kết với thiết bị, không cho phép đồng bộ hóa passkey trên các thiết bị như ở AAL2.

Đọc thêm về sự tuân thủ AAL của passkey trong blog này.

---

Các câu hỏi thường gặp về Mức độ Đảm bảo Xác thực (AAL)#

AAL1 là gì và được sử dụng khi nào?#

AAL1 cung cấp bảo mật xác thực cơ bản, thường được sử dụng trong các môi trường rủi ro thấp nơi sự tiện lợi của người dùng được ưu tiên.

AAL2 cải thiện bảo mật so với AAL1 như thế nào?#

AAL2 yêu cầu hai yếu tố xác thực khác nhau, giúp giảm đáng kể nguy cơ truy cập trái phép so với AAL1.

Các yêu cầu đối với AAL3 là gì?#

AAL3 là mức độ đảm bảo xác thực cao nhất, bao gồm các trình xác thực dựa trên phần cứng và các biện pháp bảo mật nghiêm ngặt như chống giả mạo trình xác minh.

Passkey ảnh hưởng đến các phân loại AAL như thế nào?#

Passkey được đồng bộ hóa (ví dụ: qua Chuỗi khóa iCloud) được phân loại là AAL2 trong khi passkey liên kết với thiết bị được phân loại là tuân thủ AAL3. Đọc thêm về nó trong blog này.

Về Corbado

Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →