|
| 1 | += Prüfschritt 3.3.8 Zugängliche Authentifizierung (Minimum) |
| 2 | +include::include/author.adoc[] |
| 3 | +include::include/attributes.adoc[] |
| 4 | + |
| 5 | +== Was wird geprüft |
| 6 | + |
| 7 | +Eine Authentifizierung soll ohne Durchführung eines kognitivem Funktionstests (z. B. das Merken eines Passworts oder das Lösen eines Rätsels) möglich sein. Es sei den, |
| 8 | + |
| 9 | +* es wird eine weitere Authentifizierungsmethode angeboten, die nicht auf einem kognitiven Funktionstest beruht (**Alternative**). |
| 10 | +* es gibt einen Mechanismus, der die Nutzenden beim Ausführen des kognitiven Funktionstests unterstützt, etwa Kopieren und Einfügen von Passwörtern, eine Autocomplete-Funktion oder die Verwendung |
| 11 | +eines Passwort-Hilfsprogramms (Passwort-Manager) (**Mechanismus**). |
| 12 | +* im kognitiven Funktionstest geht es darum, Objekte zu erkennen (**Objekterkennung**). |
| 13 | +* der kognitive Funktionstest beinhaltet das Wiedererkennen nicht-textlicher Inhalte (Bilder, Video, Audio) welche die Nutzenden selbst für diesen Zweck hinterlegt haben (**persönlicher Inhalt**). |
| 14 | + |
| 15 | +== Warum wird das geprüft |
| 16 | + |
| 17 | +Nutzende sollen sich mit einer zugänglichen, einfachen und sicheren Methode auf einem zugangsgeschützten Webangebot anmelden können. Kognitive Funktionstests (wie z. B. das Erinnern eines Passworts), |
| 18 | +können für manche Nutzenden schwierig oder unmöglich sein, zum Beispiel wenn sie Probleme mit dem Gedächtnis, dem Lesen, dem Rechnen oder der Wahrnehmungsverarbeitung haben. Bei Verwendung solcher Tests |
| 19 | +muss entweder eine alternative Authentifizierungs-Methode zur Verfügung stehen oder es gibt einen Mechanismus, der die Nutzenden unterstützt. |
| 20 | + |
| 21 | +== Wie wird geprüft |
| 22 | + |
| 23 | +=== 1. Anwendbarkeit des Prüfschritts |
| 24 | + |
| 25 | +Der Prüfschritt ist anwendbar, wenn das Webangebot zugangsgeschützt ist und einen Anmeldevorgang verlangt. |
| 26 | + |
| 27 | +=== 2. Prüfung |
| 28 | + |
| 29 | +==== 2.1 Prüfung von Anmelde-Vorgängen |
| 30 | + |
| 31 | +* Prüfen, ob das Kopieren und Einfügen eines Passworts möglich ist oder die Anmeldung mithilfe der autocomplete-Funktion (des Browesers) durchgeführt werden kannn. |
| 32 | + |
| 33 | +==== 2.2 Prüfen einer 2-Faktor-Authentifizierung |
| 34 | + |
| 35 | +* Prüfen, ob eine Transkription (etwa das Abschreiben eines Codes) nötig ist. |
| 36 | +Sofern es keine Alternative gibt (beispielsweise die Bestätigung eines Vorgangs mithilfe eines Links oder einer Schaltfläche), wäre dies als Fehler im Sinne des Prüfschritts zu werten. |
| 37 | + |
| 38 | +==== 2.3 Prüfung von Sicherheitsabfragen (CAPTCHAs) |
| 39 | + |
| 40 | +* Prüfen, ob es sich bei der Aufgabe des CAPTCHA-Tests um einen kognitiven Funktionstest handelt. Lediglich Objekterkennung gilt als Ausnahme im Sinne des Prüfschritts |
| 41 | +(z.B. alle Bilder mit einer Ampel auswählen). Objekterkennung ist nicht nur auf die Erkennung von Bildern beschränkt, sondern umfasst auch Video- oder Audioinhalte. |
| 42 | + |
| 43 | +=== 3. Hinweise |
| 44 | + |
| 45 | +==== 3.1 Definition "kognitiver Funktionstest" |
| 46 | + |
| 47 | +Ein kognitiver Funktionstest ist eine Aufgabe, bei der sich Nutzende an Informationen erinnern, diese bearbeiten oder abschreiben müssen. Beispiele für kognitive Funktionstests sind: |
| 48 | + |
| 49 | +* Auswendig lernen (das Merken eines Benutzernamens, eines Passworts, einer Reihe von Zeichen, Bildern oder Mustern). |
| 50 | +* Transkription (z. B. das Abschreiben und Eintippen von Zeichen) |
| 51 | +* Verwendung der korrekten Schreibweise |
| 52 | +* Rechenaufgaben |
| 53 | +* Lösen von Rätseln (z. B. welcher der folgenden Begriffe ist kein Tier?) |
| 54 | + |
| 55 | +==== 3.2 Zwei-Faktor-Authentifizierung (Verfizierungscodes) |
| 56 | +Es gibt Situationen, in denen ein Verifizierungscode auf einem zweiten Gerät empfangen oder erzeugt werden muss. Zum Beispiel erfordert die Authentifizierung in einem Webbrowser |
| 57 | +auf einem Laptop einen Verifizierungscode, der als SMS an ein Mobiltelefon gesendet wird. In den meisten Fällen ist es jedoch möglich, den Code direkt an das primäre Gerät zu senden, |
| 58 | +wo er dann kopiert und eingefügt werden kann. Nutzende können beispielsweise den Codes auf dem sekundären Gerät kopieren und per E-Mail an das primäre Gerät senden. Eine andere Möglichkeit wäre, |
| 59 | +wenn der Code an eine gemeinsamen geräteübergreifenden Zwischenablage gesendet werden kann und damit das Kopieren von Inhalten auf dem sekundären Gerät und das Einfügen auf dem primären Gerät |
| 60 | +möglich wird. |
| 61 | + |
| 62 | +Die Bewertung, ob der Code nahtlos vom sekundären Gerät auf das primäre Gerät übertragen werden kann oder nicht, liegt außerhalb des Anwendungsbereichs dieser Anforderung. |
| 63 | +Die Bewertung dieses Kriteriums erfordert daher nur die Überprüfung, ob der Webinhalt das Einfügen des Inhalts der Zwischenablage in das entsprechende Authentifizierungsfeld erlaubt. |
| 64 | + |
| 65 | +=== 4. Bewertung |
| 66 | + |
| 67 | +==== Nicht erfüllt |
| 68 | + |
| 69 | +Ein Authentifizierungsverfahren ist nur mit Hilfe eines kognitiven Funktionstests durchführbar (ausgenommen sind die Objekterkennung und das Wiedererkennen von selbst hinterlegten Inhalten). |
| 70 | +Es steht weder eine Alternative noch ein unterstützender Mechanismus (z. B. Kopieren und Einfügen auf dem gleichen Endgerät) zur Verfügung. |
| 71 | + |
| 72 | +== Einordnung des Prüfschritts |
| 73 | + |
| 74 | +=== Abgrenzung zu anderen Prüfschritten |
| 75 | + |
| 76 | +=== Einordnung des Prüfschritts nach WCAG 2.2 |
| 77 | + |
| 78 | +Websites können die Eingabe von Benutzernamen (oder E-Mail) und Passwort als Authentifizierungsmethode verwenden, wenn der User Agent (Browser und Passwort-Manager von Drittanbietern) in der Lage |
| 79 | +ist, die Felder automatisch auszufüllen. Wenn das Anmeldeformular das Erfolgskriterium 1.3.5 "Eingabefelder zu Nutzerdaten vermitteln den Zweck" erfüllt und die Steuerelemente des Formulars |
| 80 | +einen geeigneten zugänglichen Namen gemäß 4.1.2 Name, Rolle, Wert haben, kann der User Agent die Felder zuverlässig erkennen und automatisch ausfüllen. Wenn der User Agent jedoch durch ein Skript |
| 81 | +am Ausfüllen der Felder gehindert wird, würde die Seite dieses Kriterium nicht bestehen, da der Mechanismus nicht funktioniert. |
| 82 | + |
| 83 | +==== Guidelines |
| 84 | + |
| 85 | +* https://www.w3.org/TR/WCAG22/#input-assistance[3.3 Input Assistance] |
| 86 | + |
| 87 | +==== Success Criterion |
| 88 | + |
| 89 | +* https://www.w3.org/TR/WCAG22/#accessible-authentication-minimum[3.3.8 Accessible Authentication (Minimum) (AA)] |
| 90 | + |
| 91 | +==== Techniques |
| 92 | + |
| 93 | +===== Sufficient Techniques |
| 94 | + |
| 95 | +* https://www.w3.org/WAI/WCAG22/Techniques/general/G218[G218: Email link authentication] |
| 96 | +* https://www.w3.org/WAI/WCAG22/Techniques/html/H100[H100: Providing properly marked up email and password inputs] |
| 97 | +* Providing WebAuthn as an alternative to username/password (Potential future technique) |
| 98 | +* Providing a 3rd party login using OAuth (Potential future technique) |
| 99 | +* Using two techniques to provide 2 factor authentication (Potential future technique) |
| 100 | + |
| 101 | +===== Failures |
| 102 | + |
| 103 | +* https://www.w3.org/WAI/WCAG22/Techniques/failures/F109[F109: Failure of Success Criterion 3.3.8 and 3.3.9 due to preventing password or code re-entry in the same format] |
0 commit comments