--- url: 'https://www.corbado.com/zh/glossary/shenfen-yanzheng-baozheng-jibie' title: '身份验证保证级别 (AAL)' description: '什么是 AAL (身份验证保证级别)?' lang: 'zh' keywords: '身份验证保证级别 (aal), aal' --- # 身份验证保证级别 (AAL) ## 什么是 AAL (身份验证保证级别)? **身份验证保证级别 (Authentication Assurance Level, AAL)** 是指用于描述身份验证过程强度和可靠性的分类。在 [NIST](https://www.corbado.com/blog/nist-passkeys) 的特别出版物 SP 800-63-3 中定义,AAL 帮助组织为其数字交互确定适当的安全级别。 AAL分为三个级别: ### AAL1:基本保证 - 为用户身份验证提供一定的可信度。 - 通常涉及单因素身份验证,例如密码或 OTP 设备。 ### AAL2:高保证 - 需要两种不同的因素进行身份验证。 - 此级别解决了额外的安全措施,如重放攻击抵抗和更短的重新验证时间。 - 同步的通行密钥符合 [AAL2](https://www.corbado.com/blog/nist-passkeys) 标准。 ### AAL3:非常高保证 - 涉及使用基于硬件的验证器的多因素身份验证。 - 具有严格的安全要求,包括验证者模拟抵抗和验证者泄露抵抗。 - 设备绑定的通行密钥符合 [AAL3](https://www.corbado.com/blog/nist-passkeys) 标准。 每个级别都针对不同的安全需求量身定制,从 [AAL1](https://www.corbado.com/faq/authenticator-assurance-levels-aal-digital-identity) 的低风险环境到 [AAL3](https://www.corbado.com/blog/nist-passkeys) 的高安全要求。 > - **身份验证保证级别 (AAL) 是衡量身份验证强度的标准。** > - [AAL1](https://www.corbado.com/faq/authenticator-assurance-levels-aal-digital-identity) > 涉及基本安全,[AAL2](https://www.corbado.com/blog/nist-passkeys) 通过双因素增强安全性,而 > [AAL3](https://www.corbado.com/blog/nist-passkeys) 通过基于硬件的多因素身份验证提供最高级别的安全性。 > - 关键要求包括重放攻击抵抗、验证者模拟抵抗和验证者泄露抵抗。 --- 以下是关于身份验证保证级别及其影响的更深入探讨: ### AAL1:可访问性与风险 - 针对优先考虑便利性的低安全性应用程序。 - 由于依赖密码等简单的身份验证形式,容易受到常见的安全威胁(例如网络钓鱼、中间人攻击、凭证填充等)的攻击。 ### AAL2:增强的安全措施 - 适用于需要更高安全性的交易。 - 结合了物理因素(如安全令牌)和知识因素(如密码)来增强安全性。 ### AAL3:最高安全标准 - 专为高风险环境设计,确保最高级别的安全性。 - 利用先进的加密措施和硬件抗物理篡改能力。 ### 与通行密钥相关的 AAL 增强功能 - [NIST](https://www.corbado.com/blog/nist-passkeys) 批准同步的通行密钥(例如通过 iCloud 钥匙串)为符合 [AAL2](https://www.corbado.com/blog/nist-passkeys) 标准,从而增强了数字实体的安全框架,并为通行密钥的更广泛采用铺平了道路。 - 在更高风险的场景中,通行密钥也可以用作符合 AAL3 标准的身份验证,前提是它们是设备绑定的通行密钥,不允许像 AAL2 那样跨设备同步通行密钥。 在此博客中阅读更多关于通行密钥的AAL符合性的信息。 --- ## 身份验证保证级别 (AAL) 常见问题解答 ### 什么是 AAL1?它在何时使用? [AAL1](https://www.corbado.com/faq/authenticator-assurance-levels-aal-digital-identity)提供基本的身份验证安全性,通常用于优先考虑用户便利性的低风险环境。 ### AAL2 如何比 AAL1 提高安全性? AAL2 需要两种不同的身份验证因素,与 AAL1 相比,显著降低了未经授权访问的风险。 ### AAL3 的要求是什么? AAL3是最高级别的身份验证保证,涉及基于硬件的验证器和严格的安全措施,如验证者模拟抵抗。 ### 通行密钥如何影响 AAL 分类? 同步的通行密钥(例如通过 iCloud 钥匙串)被归类为 AAL2,而设备绑定的通行密钥则符合 AAL3 标准。在此博客中阅读更多相关信息。