Standards · WCAG 2.2

SC 3.3.9 Stufe AAA WCAG 2.2 Neu in 2.2

Barrierefreie Authentifizierung (Erweitert)

Authentifizierung darf keinerlei kognitiven Funktionstest verlangen, auch keine Objekterkennung oder Identifizierung persönlicher Inhalte. Die AAA-Erweiterung von 3.3.8 — Passkeys, Biometrie und gerätgebundene Anmeldedaten werden zu den praktikablen Wegen. Neu in WCAG 2.2.

Was gefordert wird

Dieses AAA-Erfolgskriterium entfernt die beiden eng begrenzten Ausnahmen, die auf Stufe AA (3.3.8) zulässig sind: Objekterkennung und Identifizierung persönlicher Inhalte sind ebenfalls verboten. Authentifizierung darf keinerlei kognitiven Funktionstest verlangen, ohne Ausnahme — es sei denn, eine alternative Authentifizierungsmethode, die keinen kognitiven Funktionstest erfordert, steht zur Verfügung.

In der Praxis bedeutet dies, dass im Ablauf mindestens eine vollständig barrierefreie Authentifizierungsoption vorhanden sein muss, auch wenn weitere Optionen weiterhin angeboten werden.

So wird es erfüllt

  • Passkeys / WebAuthn als erstrangige Option anbieten — sie nutzen die biometrische oder PIN-Entsperrung des Geräts, ohne kognitiven Test.
  • Magic-Link-Anmeldung per E-Mail als kognitionsfreie Alternative anbieten.
  • OAuth / Social Sign-in unterstützen.
  • Hardware-Sicherheitsschlüssel (FIDO2) unterstützen.
  • Sicherstellen, dass von jedem Einstiegspunkt aus mindestens einer dieser Wege erreichbar ist, ohne CAPTCHA oder auf Erinnern basierenden Rückfall.

Häufige Fehler

  • Websites, die 3.3.8 ausschließlich dadurch erfüllen, dass Passwort-Manager zugelassen werden, ohne biometrische Option, Passkey oder Magic-Link für Nutzende, die keine Passwort-Manager verwenden.
  • Authentifizierung, die das Identifizieren des eigenen Profilbilds der Nutzenden verlangt (Objekterkennung / persönliche Inhalte) — für Stufe AA zulässig, auf Stufe AAA ein Fehler.
  • Erweiterte Authentifizierung für sensible Aktionen, die stets auf einen auf Erinnern basierenden Test eskaliert.

Warum es wichtig ist

AAA ist selten ein Konformitätsziel, doch für hochrelevante Dienste — Banking, Gesundheitsportale, staatliche Identitätssysteme — ist das Erfüllen von 3.3.9 zunehmend die richtige Produktentscheidung. Passkeys werden mittlerweile unter iOS, Android, Windows und macOS breit unterstützt und erfüllen das Erfolgskriterium für die Nutzergruppen, die es am dringendsten benötigen. Der Weg von 3.3.8 zu 3.3.9 erfordert in der Regel eine einzige Produktinvestition: Passkeys als primäre Authentifizierungsmethode hinzufügen.