Standards · WCAG 2.2

SC 3.3.8 Stufe AA WCAG 2.2 Neu in 2.2

Barrierefreie Authentifizierung (Minimum)

Authentifizierung darf nicht verlangen, dass ein kognitiver Funktionstest absolviert wird — also Erinnern, Abtippen oder Identifizieren von Objekten —, es sei denn, eine Alternative oder eine Unterstützungsfunktion wird angeboten. Passwörter und Bild-CAPTCHAs sind typische Fehler. Neu in WCAG 2.2.

Was gefordert wird

Für die Authentifizierung darf kein kognitiver Funktionstest verlangt werden — also kein Erinnern eines Passworts aus dem Gedächtnis, kein Abtippen eines Codes, kein Identifizieren von Objekten in Bildern, kein Lösen eines Rätsels —, es sei denn, eine der folgenden Bedingungen ist erfüllt:

  • Alternative: Eine andere Authentifizierungsmethode, die keinen kognitiven Funktionstest erfordert, steht zur Verfügung.
  • Mechanismus: Eine Unterstützungsfunktion hilft beim Abschließen des Tests (automatisches Ausfüllen durch einen Passwort-Manager, Kopieren und Einfügen aus einer Bestätigungs-E-Mail).
  • Objekterkennung: Der Test erfordert ausschließlich das Wiedererkennen von Objekten, nicht das Lösen eines Rätsels (diese Ausnahme ist eng begrenzt).
  • Persönliche Inhalte: Der Test erfordert ausschließlich das Identifizieren von Nicht-Text-Inhalten, die Nutzende selbst bereitgestellt haben (z. B. das eigene Profilbild).

Das Ziel ist, Authentifizierung für Menschen mit kognitiven Behinderungen, Gedächtnisbeeinträchtigungen, Legasthenie und Aphasie zu ermöglichen, die durch passwort- und CAPTCHA-basierte Abläufe systematisch ausgeschlossen werden.

So wird es erfüllt

  • Passwort-Manager zulassen: Einfügen in Passwortfelder nicht blockieren, automatisches Ausfüllen nicht deaktivieren, autocomplete="current-password" bzw. autocomplete="new-password" nicht entfernen. Diese einzelne Maßnahme reicht oft aus, um das Erfolgskriterium zu erfüllen.
  • Passkeys / WebAuthn unterstützen: Ein biometrisches oder gerätgebundenes Anmeldedaten-Verfahren umgeht den kognitiven Test vollständig.
  • OAuth / Social Sign-in als alternativen Anmeldepfad anbieten.
  • Magic Links: Einen Einmal-Anmelde-Link per E-Mail versenden, anstatt das Erinnern an ein Passwort zu verlangen.
  • E-Mail- / SMS-Codes: Sicherstellen, dass Kopieren und Einfügen aus der Nachricht in das Eingabefeld möglich ist, und wo es die Plattform erlaubt, automatisches Ausfüllen unterstützen (z. B. automatisches Einfügen von SMS-Codes unter iOS).
  • Bild-CAPTCHAs vermeiden (z. B. reCAPTCHA „Alle Ampeln markieren“), sofern keine nicht-kognitive Alternative angeboten wird.
  • Passwort-Anzeige-Umschalter zulassen: Hilft Menschen mit Legasthenie oder motorischen Schwierigkeiten beim Überprüfen ihrer Eingabe.

Häufige Fehler

  • Anmeldeformulare, die das Einfügen in das Passwortfeld blockieren — dieses einzelne Anti-Pattern lässt 3.3.8 für Nutzende, die auf Passwort-Manager angewiesen sind, unmittelbar scheitern.
  • autocomplete="off" auf Passwort-Eingabefeldern, wodurch automatisches Ausfüllen durch Browser und Passwort-Manager verhindert wird.
  • Bild-Raster-CAPTCHAs als einziger Verifikationsschritt ohne akustische oder sonstige Alternative.
  • Multi-Faktor-Abläufe, bei denen auf einem Gerät ein sechsstelliger Code angezeigt wird und Nutzende ihn auf einem anderen Gerät eintippen müssen, ohne Kopiermöglichkeit.
  • Anmeldeseiten, die verlangen, auf welchem von neun Bildern ein bestimmtes Objekt zu sehen ist.
  • „Sicherheitsfrage“-Abläufe, die das Erinnern an schwer zugängliche persönliche Daten erfordern (z. B. „Name des ersten Haustieres“), ohne Rückfalloption.
  • Passwortregeln, die gängige Muster verbieten und gleichzeitig das Einfügen sperren, sodass eine unvergessliche Zeichenfolge manuell eingegeben werden muss.
  • Authentifizierungsapp-Codes ohne automatische Übertragungsbrücke und ohne Kopierfunktion, die eine manuelle Übertragung innerhalb eines 30-Sekunden-Fensters erfordern.

Warum es wichtig ist

Dies ist das bedeutendste neue Erfolgskriterium in WCAG 2.2 und dasjenige, das bei großen Unternehmen am ehesten Produktänderungen erzwingen wird. Kognitive Behinderungen betreffen mehr als 1 von 10 Erwachsenen, und das Modell „Passwort merken“ hat sie schon immer ausgegrenzt — das Erfolgskriterium formalisiert dieses Versagen als Konformitätsproblem.

Der häufigste Konformitätspfad ist zugleich der günstigste: Einfügen erlauben, automatisches Ausfüllen erlauben, Passkeys unterstützen, Magic Links unterstützen. Viele bestehende Anmeldeseiten können durch das Entfernen von drei Zeilen Anti-Einfüge-Code konform werden. CAPTCHA-Alternativen sind das schwierigere Problem — moderne Alternativen umfassen gerätebasierte Risikobewertung (Cloudflare Turnstile, hCaptcha im unsichtbaren Modus) und Verhaltensanalyse, die für die meisten Nutzenden den kognitiven Test umgehen.

Es ist zu erwarten, dass 3.3.8 die Audit-Ergebnisse nach WCAG 2.2 in den nächsten Jahren dominieren wird.