Tilgængelig godkendelse (minimum)

Hvad det kræver

For at godkende sig må brugeren ikke tvinges til at udføre en kognitiv funktionstest — huske en adgangskode, transskribere en kode, identificere objekter i billeder, løse et puslespil — medmindre én af følgende er opfyldt:

• Alternativ: en anden godkendelsesmetode, der ikke kræver en kognitiv funktionstest, er tilgængelig.
• Mekanisme: hjælp er tilgængelig til at gennemføre testen (auto-udfyldning i adgangskodeadministrator, kopi-indsæt fra en bekræftelsesmail).
• Objektgenkendelse: testen kræver kun genkendelse af objekter, ikke løsning af et puslespil (denne undtagelse er snæver).
• Personligt indhold: testen kræver kun identifikation af ikke-tekstindhold, brugeren selv har leveret (f.eks. sit eget profilbillede).

Formålet er at gøre godkendelse mulig for brugere med kognitive handicap, hukommelsesnedsættelser, ordblindhed og afasi, som systematisk udelukkes af adgangskode- og CAPTCHA-baserede forløb.

Sådan opfyldes det

• Tillad adgangskodeadministratorer: bloker ikke indsæt i adgangskodefelter, deaktiver ikke auto-udfyldning, fjern ikke autocomplete="current-password" / autocomplete="new-password". Denne ene ændring er ofte tilstrækkelig til at opfylde succeskriteriet.
• Understøt passkeys / WebAuthn: en biometrisk eller enhedsbunden legitimation omgår den kognitive test fuldstændigt.
• Understøt OAuth / social login som en alternativ vej.
• Magiske links: send et klik-for-login-link via e-mail i stedet for at kræve, at adgangskoden huskes.
• E-mail-/SMS-koder: sørg for, at kopi-indsæt fungerer fra beskeden til feltet, og lad systemet auto-udfylde, hvor platformen understøtter det (f.eks. iOS SMS-kode-auto-udfyldning).
• Undgå billed-CAPTCHA (reCAPTCHAs „klik på alle trafiklyse“), medmindre et ikke-kognitivt alternativ tilbydes.
• Tillad vis-adgangskode-skifte: hjælper brugere med ordblindhed eller motoriske vanskeligheder med at kontrollere deres input.

Hyppige fejl

• Login-formularer, der blokerer indsæt i adgangskodefeltet — dette ene anti-mønster fejler 3.3.8 direkte for brugere, der er afhængige af adgangskodeadministratorer.
• autocomplete="off" på adgangskodeinput, der forhindrer auto-udfyldning i browser og adgangskodeadministrator.
• Billedgitter-CAPTCHA som det eneste verifikationstrin uden lyd- eller alternativ.
• Multifaktorforløb, der viser en 6-cifret kode på én enhed og kræver, at brugeren husker og indtaster den i en anden uden mulighed for kopi-indsæt.
• Login-sider, der kræver, at brugeren identificerer, hvilket af ni billeder der indeholder et bestemt objekt.
• „Sikkerhedsspørgsmål“-forløb, der kræver genkaldelse af obskure personlige data („navn på første kæledyr“) uden fallback.
• Adgangskoderegler, der forbyder almindelige mønstre OG forbyder indsæt, og derved tvinger manuel indtastning af en uforglemmelig streng.
• Autentificeringskoder til godkenderapp uden auto-udfyldningsbro og uden kopieringsunderstøttelse, der kræver transskription inden for et 30-sekunders vindue.

Hvorfor det er vigtigt

Dette er det mest fremtrædende nye WCAG 2.2-kriterium og det, der sandsynligvis vil tvinge store virksomheder til produktændringer. Kognitive handicap påvirker mere end 1 ud af 10 voksne, og „husk denne adgangskode“-modellen har altid svigtet dem — succeskriteriet formaliserer denne fejl som et overensstemmelsesproblem.

Den mest almindelige vej til overensstemmelse er også den billigste: tillad indsæt, tillad auto-udfyldning, understøt passkeys, understøt magiske links. Mange eksisterende login-sider kan blive 3.3.8-kompatible ved at fjerne tre linjer anti-indsæt-kode. CAPTCHA-erstatninger er det sværere problem — moderne alternativer inkluderer enhedsbaseret risikovurdering (Cloudflare Turnstile, hCaptcha usynlig tilstand) og adfærdsanalyse, der begge omgår den kognitive test for de fleste brugere.

Forvent, at 3.3.8 vil dominere 2.2-audit-fund i de kommende år.