Ory Kratos中基于SMS的2FA与AAL级别匹配问题解析

在身份认证系统中，认证保证级别（AAL）是衡量会话安全强度的重要指标。Ory Kratos作为开源身份认证服务，近期修复了一个关于SMS双因素认证(2FA)与AAL级别匹配的关键问题，本文将深入分析该问题的技术背景和解决方案。

问题背景

在Kratos的认证体系中，AAL分为三个级别：

• AAL1：仅需单因素认证（如密码）
• AAL2：需要双因素认证
• AAL3：需要多因素认证加上物理安全密钥

当配置highest_available AAL时，系统应自动识别用户账户支持的最高安全级别。例如，用户配置了TOTP认证时，系统应识别其最高支持AAL2。

问题现象

开发人员发现，当使用SMS作为2FA方式时，系统存在以下异常行为：

1. 即使账户已完成手机号验证并启用SMS 2FA，会话仍保持在AAL1级别
2. 访问配置为highest_available的端点（如/whoami）时，不会触发AAL2升级流程
3. 用户可以在AAL1会话中执行敏感操作（如密码修改）

这与TOTP等其它2FA方式的行为形成鲜明对比，后者能正确识别AAL2需求并强制升级。

技术原因分析

问题的根本原因在于Kratos对SMS 2FA的特殊处理：

1. 设计上将SMS视为"临时性"的MFA方法，而非永久性安全凭证
2. 代码实现中未将已验证的手机号视为持久的AAL2能力标志
3. SMS验证流程虽然能临时提升会话至AAL2，但不影响账户的"最高可用AAL"评估

解决方案

Kratos团队在master分支中已修复此问题，主要改进包括：

1. 统一所有2FA方式的AAL评估逻辑
2. 将已验证的SMS凭证纳入账户的持久安全能力评估
3. 确保highest_available配置对所有支持的2FA方式一视同仁

最佳实践建议

对于使用Kratos的开发人员，建议：

1. 升级到包含此修复的1.3或更高版本
2. 测试所有配置的2FA方式是否都能正确触发AAL升级
3. 对于关键操作，考虑显式指定required_aal而非依赖highest_available

此修复使Kratos的认证强度评估更加准确可靠，特别是对于依赖SMS 2FA的场景，进一步提升了系统的整体安全性。