什么是身份验证保证级别 (AAL)?
Vincent
Created: June 20, 2025
Updated: July 8, 2025
See the original glossary version in English here.
什么是 AAL (身份验证保证级别)?#
身份验证保证级别 (Authentication Assurance Level, AAL) 是指用于描述身份验证过程强度和可靠性的分类。在 NIST 的特别出版物 SP 800-63-3 中定义,AAL 帮助组织为其数字交互确定适当的安全级别。
AAL分为三个级别:
AAL1:基本保证#
- 为用户身份验证提供一定的可信度。
- 通常涉及单因素身份验证,例如密码或 OTP 设备。
AAL2:高保证#
- 需要两种不同的因素进行身份验证。
- 此级别解决了额外的安全措施,如重放攻击抵抗和更短的重新验证时间。
- 同步的通行密钥符合 AAL2 标准。
AAL3:非常高保证#
每个级别都针对不同的安全需求量身定制,从 AAL1 的低风险环境到 AAL3 的高安全要求。
以下是关于身份验证保证级别及其影响的更深入探讨:
AAL1:可访问性与风险#
- 针对优先考虑便利性的低安全性应用程序。
- 由于依赖密码等简单的身份验证形式,容易受到常见的安全威胁(例如网络钓鱼、中间人攻击、凭证填充等)的攻击。
AAL2:增强的安全措施#
- 适用于需要更高安全性的交易。
- 结合了物理因素(如安全令牌)和知识因素(如密码)来增强安全性。
AAL3:最高安全标准#
- 专为高风险环境设计,确保最高级别的安全性。
- 利用先进的加密措施和硬件抗物理篡改能力。
与通行密钥相关的 AAL 增强功能#
- NIST 批准同步的通行密钥(例如通过 iCloud 钥匙串)为符合 AAL2 标准,从而增强了数字实体的安全框架,并为通行密钥的更广泛采用铺平了道路。
- 在更高风险的场景中,通行密钥也可以用作符合 AAL3 标准的身份验证,前提是它们是设备绑定的通行密钥,不允许像 AAL2 那样跨设备同步通行密钥。
在此博客中阅读更多关于通行密钥的AAL符合性的信息。
Ben Gould
Head of Engineering
I’ve built hundreds of integrations in my time, including quite a few with identity providers and I’ve never been so impressed with a developer experience as I have been with Corbado.
超过 3000 名开发者信任 Corbado,并使用通行密钥让互联网更安全。有疑问吗?我们撰写了超过 150 篇关于通行密钥的博客文章。
加入通行密钥社区身份验证保证级别 (AAL) 常见问题解答#
什么是 AAL1?它在何时使用?#
AAL1 提供基本的身份验证安全性,通常用于优先考虑用户便利性的低风险环境。
AAL2 如何比 AAL1 提高安全性?#
AAL2 需要两种不同的身份验证因素,与 AAL1 相比,显著降低了未经授权访问的风险。
AAL3 的要求是什么?#
AAL3 是最高级别的身份验证保证,涉及基于硬件的验证器和严格的安全措施,如验证者模拟抵抗。
通行密钥如何影响 AAL 分类?#
同步的通行密钥(例如通过 iCloud 钥匙串)被归类为 AAL2,而设备绑定的通行密钥则符合 AAL3 标准。在此博客中阅读更多相关信息。
Share this article
Table of Contents
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
