-
Notifications
You must be signed in to change notification settings - Fork 23
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Merge pull request #384 from BIK-BITV/Zugängliche-Authentifizierung-M…
…inimum 3.3.8 Zugängliche Authentifizierung (Minimum) - WCAG 2.2 Neue Prüfschritt-Beschreibung
- Loading branch information
Showing
1 changed file
with
103 additions
and
0 deletions.
There are no files selected for viewing
103 changes: 103 additions & 0 deletions
103
Prüfschritte/de/3.3.8 Zugängliche Authentifizierung (Minimum).adoc
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,103 @@ | ||
| = Prüfschritt 3.3.8 Zugängliche Authentifizierung (Minimum) | ||
| include::include/author.adoc[] | ||
| include::include/attributes.adoc[] | ||
|
|
||
| == Was wird geprüft | ||
|
|
||
| Eine Authentifizierung soll ohne Durchführung eines kognitivem Funktionstests (z. B. das Merken eines Passworts oder das Lösen eines Rätsels) möglich sein. Es sei den, | ||
|
|
||
| * es wird eine weitere Authentifizierungsmethode angeboten, die nicht auf einem kognitiven Funktionstest beruht (**Alternative**). | ||
| * es gibt einen Mechanismus, der die Nutzenden beim Ausführen des kognitiven Funktionstests unterstützt, etwa Kopieren und Einfügen von Passwörtern, eine Autocomplete-Funktion oder die Verwendung | ||
| eines Passwort-Hilfsprogramms (Passwort-Manager) (**Mechanismus**). | ||
| * im kognitiven Funktionstest geht es darum, Objekte zu erkennen (**Objekterkennung**). | ||
| * der kognitive Funktionstest beinhaltet das Wiedererkennen nicht-textlicher Inhalte (Bilder, Video, Audio) welche die Nutzenden selbst für diesen Zweck hinterlegt haben (**persönlicher Inhalt**). | ||
|
|
||
| == Warum wird das geprüft | ||
|
|
||
| Nutzende sollen sich mit einer zugänglichen, einfachen und sicheren Methode auf einem zugangsgeschützten Webangebot anmelden können. Kognitive Funktionstests (wie z. B. das Erinnern eines Passworts), | ||
| können für manche Nutzenden schwierig oder unmöglich sein, zum Beispiel wenn sie Probleme mit dem Gedächtnis, dem Lesen, dem Rechnen oder der Wahrnehmungsverarbeitung haben. Bei Verwendung solcher Tests | ||
| muss entweder eine alternative Authentifizierungs-Methode zur Verfügung stehen oder es gibt einen Mechanismus, der die Nutzenden unterstützt. | ||
|
|
||
| == Wie wird geprüft | ||
|
|
||
| === 1. Anwendbarkeit des Prüfschritts | ||
|
|
||
| Der Prüfschritt ist anwendbar, wenn das Webangebot zugangsgeschützt ist und einen Anmeldevorgang verlangt. | ||
|
|
||
| === 2. Prüfung | ||
|
|
||
| ==== 2.1 Prüfung von Anmelde-Vorgängen | ||
|
|
||
| * Prüfen, ob das Kopieren und Einfügen eines Passworts möglich ist oder die Anmeldung mithilfe der autocomplete-Funktion (des Browesers) durchgeführt werden kannn. | ||
|
|
||
| ==== 2.2 Prüfen einer 2-Faktor-Authentifizierung | ||
|
|
||
| * Prüfen, ob eine Transkription (etwa das Abschreiben eines Codes) nötig ist. | ||
| Sofern es keine Alternative gibt (beispielsweise die Bestätigung eines Vorgangs mithilfe eines Links oder einer Schaltfläche), wäre dies als Fehler im Sinne des Prüfschritts zu werten. | ||
|
|
||
| ==== 2.3 Prüfung von Sicherheitsabfragen (CAPTCHAs) | ||
|
|
||
| * Prüfen, ob es sich bei der Aufgabe des CAPTCHA-Tests um einen kognitiven Funktionstest handelt. Lediglich Objekterkennung gilt als Ausnahme im Sinne des Prüfschritts | ||
| (z.B. alle Bilder mit einer Ampel auswählen). Objekterkennung ist nicht nur auf die Erkennung von Bildern beschränkt, sondern umfasst auch Video- oder Audioinhalte. | ||
|
|
||
| === 3. Hinweise | ||
|
|
||
| ==== 3.1 Definition "kognitiver Funktionstest" | ||
|
|
||
| Ein kognitiver Funktionstest ist eine Aufgabe, bei der sich Nutzende an Informationen erinnern, diese bearbeiten oder abschreiben müssen. Beispiele für kognitive Funktionstests sind: | ||
|
|
||
| * Auswendig lernen (das Merken eines Benutzernamens, eines Passworts, einer Reihe von Zeichen, Bildern oder Mustern). | ||
| * Transkription (z. B. das Abschreiben und Eintippen von Zeichen) | ||
| * Verwendung der korrekten Schreibweise | ||
| * Rechenaufgaben | ||
| * Lösen von Rätseln (z. B. welcher der folgenden Begriffe ist kein Tier?) | ||
|
|
||
| ==== 3.2 Zwei-Faktor-Authentifizierung (Verfizierungscodes) | ||
| Es gibt Situationen, in denen ein Verifizierungscode auf einem zweiten Gerät empfangen oder erzeugt werden muss. Zum Beispiel erfordert die Authentifizierung in einem Webbrowser | ||
| auf einem Laptop einen Verifizierungscode, der als SMS an ein Mobiltelefon gesendet wird. In den meisten Fällen ist es jedoch möglich, den Code direkt an das primäre Gerät zu senden, | ||
| wo er dann kopiert und eingefügt werden kann. Nutzende können beispielsweise den Codes auf dem sekundären Gerät kopieren und per E-Mail an das primäre Gerät senden. Eine andere Möglichkeit wäre, | ||
| wenn der Code an eine gemeinsamen geräteübergreifenden Zwischenablage gesendet werden kann und damit das Kopieren von Inhalten auf dem sekundären Gerät und das Einfügen auf dem primären Gerät | ||
| möglich wird. | ||
|
|
||
| Die Bewertung, ob der Code nahtlos vom sekundären Gerät auf das primäre Gerät übertragen werden kann oder nicht, liegt außerhalb des Anwendungsbereichs dieser Anforderung. | ||
| Die Bewertung dieses Kriteriums erfordert daher nur die Überprüfung, ob der Webinhalt das Einfügen des Inhalts der Zwischenablage in das entsprechende Authentifizierungsfeld erlaubt. | ||
|
|
||
| === 4. Bewertung | ||
|
|
||
| ==== Nicht erfüllt | ||
|
|
||
| Ein Authentifizierungsverfahren ist nur mit Hilfe eines kognitiven Funktionstests durchführbar (ausgenommen sind die Objekterkennung und das Wiedererkennen von selbst hinterlegten Inhalten). | ||
| Es steht weder eine Alternative noch ein unterstützender Mechanismus (z. B. Kopieren und Einfügen auf dem gleichen Endgerät) zur Verfügung. | ||
|
|
||
| == Einordnung des Prüfschritts | ||
|
|
||
| === Abgrenzung zu anderen Prüfschritten | ||
|
|
||
| === Einordnung des Prüfschritts nach WCAG 2.2 | ||
|
|
||
| Websites können die Eingabe von Benutzernamen (oder E-Mail) und Passwort als Authentifizierungsmethode verwenden, wenn der User Agent (Browser und Passwort-Manager von Drittanbietern) in der Lage | ||
| ist, die Felder automatisch auszufüllen. Wenn das Anmeldeformular das Erfolgskriterium 1.3.5 "Eingabefelder zu Nutzerdaten vermitteln den Zweck" erfüllt und die Steuerelemente des Formulars | ||
| einen geeigneten zugänglichen Namen gemäß 4.1.2 Name, Rolle, Wert haben, kann der User Agent die Felder zuverlässig erkennen und automatisch ausfüllen. Wenn der User Agent jedoch durch ein Skript | ||
| am Ausfüllen der Felder gehindert wird, würde die Seite dieses Kriterium nicht bestehen, da der Mechanismus nicht funktioniert. | ||
|
|
||
| ==== Guidelines | ||
|
|
||
| * https://www.w3.org/TR/WCAG22/#input-assistance[3.3 Input Assistance] | ||
|
|
||
| ==== Success Criterion | ||
|
|
||
| * https://www.w3.org/TR/WCAG22/#accessible-authentication-minimum[3.3.8 Accessible Authentication (Minimum) (AA)] | ||
|
|
||
| ==== Techniques | ||
|
|
||
| ===== Sufficient Techniques | ||
|
|
||
| * https://www.w3.org/WAI/WCAG22/Techniques/general/G218[G218: Email link authentication] | ||
| * https://www.w3.org/WAI/WCAG22/Techniques/html/H100[H100: Providing properly marked up email and password inputs] | ||
| * Providing WebAuthn as an alternative to username/password (Potential future technique) | ||
| * Providing a 3rd party login using OAuth (Potential future technique) | ||
| * Using two techniques to provide 2 factor authentication (Potential future technique) | ||
|
|
||
| ===== Failures | ||
|
|
||
| * https://www.w3.org/WAI/WCAG22/Techniques/failures/F109[F109: Failure of Success Criterion 3.3.8 and 3.3.9 due to preventing password or code re-entry in the same format] |