本页由自动翻译生成。请阅读英文原文 此处.
什么是 AAL (身份验证保证级别)?#
身份验证保证级别 (Authentication Assurance Level, AAL) 是指用于描述身份验证过程强度和可靠性的分类。在 NIST 的特别出版物 SP 800-63-3 中定义,AAL 帮助组织为其数字交互确定适当的安全级别。
AAL分为三个级别:
AAL1:基本保证#
- 为用户身份验证提供一定的可信度。
- 通常涉及单因素身份验证,例如密码或 OTP 设备。
AAL2:高保证#
- 需要两种不同的因素进行身份验证。
- 此级别解决了额外的安全措施,如重放攻击抵抗和更短的重新验证时间。
- 同步的通行密钥符合 AAL2 标准。
AAL3:非常高保证#
- 涉及使用基于硬件的验证器的多因素身份验证。
- 具有严格的安全要求,包括验证者模拟抵抗和验证者泄露抵抗。
- 设备绑定的通行密钥符合 AAL3 标准。
每个级别都针对不同的安全需求量身定制,从 AAL1 的低风险环境到 AAL3 的高安全要求。
以下是关于身份验证保证级别及其影响的更深入探讨:
AAL1:可访问性与风险#
- 针对优先考虑便利性的低安全性应用程序。
- 由于依赖密码等简单的身份验证形式,容易受到常见的安全威胁(例如网络钓鱼、中间人攻击、凭证填充等)的攻击。
订阅我们的 Passkeys Substack,获取最新消息。
AAL2:增强的安全措施#
- 适用于需要更高安全性的交易。
- 结合了物理因素(如安全令牌)和知识因素(如密码)来增强安全性。
AAL3:最高安全标准#
- 专为高风险环境设计,确保最高级别的安全性。
- 利用先进的加密措施和硬件抗物理篡改能力。
与通行密钥相关的 AAL 增强功能#
- NIST 批准同步的通行密钥(例如通过 iCloud 钥匙串)为符合 AAL2 标准,从而增强了数字实体的安全框架,并为通行密钥的更广泛采用铺平了道路。
- 在更高风险的场景中,通行密钥也可以用作符合 AAL3 标准的身份验证,前提是它们是设备绑定的通行密钥,不允许像 AAL2 那样跨设备同步通行密钥。
在此博客中阅读更多关于通行密钥的AAL符合性的信息。
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study身份验证保证级别 (AAL) 常见问题解答#
什么是 AAL1?它在何时使用?#
AAL1提供基本的身份验证安全性,通常用于优先考虑用户便利性的低风险环境。
AAL2 如何比 AAL1 提高安全性?#
AAL2 需要两种不同的身份验证因素,与 AAL1 相比,显著降低了未经授权访问的风险。
AAL3 的要求是什么?#
AAL3是最高级别的身份验证保证,涉及基于硬件的验证器和严格的安全措施,如验证者模拟抵抗。
通行密钥如何影响 AAL 分类?#
同步的通行密钥(例如通过 iCloud 钥匙串)被归类为 AAL2,而设备绑定的通行密钥则符合 AAL3 标准。在此博客中阅读更多相关信息。
关于 Corbado
Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容:哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey,为什么注册没有转化为登录,WebAuthn 流程在哪里失败,以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品:Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey(与你的 IDP 并存)。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey(passkey 激活率 +80%)。 与 Passkey 专家交谈 →
分享本文
目录
相关术语
相关文章
