Стандарти · WCAG 2.2

SC 3.3.8 Ниво AA WCAG 2.2 Ново в 2.2

Достъпна автентикация (минимум)

Автентикацията не трябва да изисква от потребителя решаването на когнитивен тест за функции — запомняне, препис, идентифициране на обекти — освен ако не е предоставена алтернатива или механизъм за помощ. Пароли, CAPTCHA с изображения и процеси с копиране на код от имейл са типичните нарушения. Новост в WCAG 2.2.

Какво изисква критерият

За да се извърши автентикация, потребителят не трябва да бъде задължен да преминава когнитивен функционален тест — припомняне на парола, препис на код, идентифициране на обекти в изображения, решаване на пъзел — освен ако не е изпълнено едно от следните условия:

  • Алтернатива: достъпен е друг метод за автентикация, който не изисква когнитивен функционален тест.
  • Механизъм: наличен е помощен механизъм за изпълнение на теста (автоматично попълване от мениджър на пароли, копиране и поставяне от имейл за верификация).
  • Разпознаване на обекти: тестът изисква само разпознаване на обекти, а не решаване на пъзел (това изключение е тясно).
  • Лично съдържание: тестът изисква само идентифициране на нетекстово съдържание, предоставено лично от потребителя (например собствена профилна снимка).

Намерението е да се направи автентикацията достъпна за потребители с когнитивни увреждания, нарушения на паметта, дислексия и афазия, систематично изключени от процесите, основани на парола и CAPTCHA.

Как да се изпълни

  • Позволете мениджъри на пароли: не блокирайте поставянето в полетата за парола, не деактивирайте автоматичното попълване, не премахвайте autocomplete="current-password" / autocomplete="new-password". Само тази промяна е достатъчна в много случаи.
  • Поддържайте passkeys / WebAuthn: биометрични или устройствено-обвързани идентификационни данни заобикалят напълно когнитивния тест.
  • Поддържайте OAuth / вход чрез социални мрежи като алтернативен маршрут.
  • Magic links: изпратете по имейл връзка за вход с едно кликване вместо да изисквате припомняне на парола.
  • Кодове по имейл / SMS: уверете се, че копирането и поставянето от съобщението в полето работи, и позволете на системата да попълва автоматично там, където платформата го поддържа (напр. автоматично попълване на SMS кодове под iOS).
  • Избягвайте CAPTCHA с изображения (reCAPTCHA с „кликнете върху всички светофари”), освен ако не се предлага алтернатива без когнитивен компонент.
  • Позволете превключватели за показване на паролата: помага на потребителите с дислексия или двигателни затруднения да проверят въведеното.

Чести грешки

  • Вход-формуляри, блокиращи поставянето в полето за парола — тази единствена антипрактика нарушава 3.3.8 напълно за потребителите, зависещи от мениджъри на пароли.
  • autocomplete="off" при полета за парола, предотвратяващо автоматичното попълване от браузъра и мениджъра на пароли.
  • CAPTCHA с мрежа от изображения като единствена стъпка за верификация, без аудио или алтернатива.
  • Многофакторни процеси, показващи 6-цифрен код на едно устройство и изискващи потребителят да го запомни и въведе в друго, без възможност за копиране и поставяне.
  • Страници за вход, изискващи идентифицирането кое от девет изображения съдържа конкретен обект.
  • Процеси с „контролни въпроси”, изискващи припомняне на неясни лични данни („кличка на първия домашен любимец”) без резервен вариант.
  • Правила за парола, забраняващи едновременно общоизползвани шаблони И поставяне, принуждавайки ръчното въвеждане на трудно запомним низ.
  • Кодове от приложения за автентикация без автоматично попълване и без поддръжка за копиране, изискващи препис в 30-секунден прозорец.

Защо е важно

Това е основният нов критерий на WCAG 2.2 и е с най-висок потенциал да наложи промени в продуктите на големи компании. Когнитивните увреждания засягат повече от 1 на 10 възрастни, а моделът „запомни тази парола” винаги е провалял тези потребители — критерият формализира това като проблем на съответствието.

Най-честият маршрут за съответствие е и най-евтиният: позволете поставяне, позволете автоматично попълване, поддържайте passkeys, поддържайте magic links. Много от съществуващите страници за вход могат да станат съответстващи на 3.3.8 с премахването на три реда код, блокиращ поставянето. Заместителите на CAPTCHA са по-трудният проблем — съвременните алтернативи включват оценяване на риска на устройствено ниво (Cloudflare Turnstile, hCaptcha в невидим режим) и поведенчески анализ, и двете заобикалящи когнитивния тест за повечето потребители.

Очаква се 3.3.8 да доминира в находките от одити по WCAG 2.2 в продължение на следващите няколко години.