Saavutettava todennus (minimi)

Mitä vaaditaan

Todennuksessa käyttäjältä ei saa edellyttää kognitiivisen tehtävän suorittamista — salasanan muistaminen, koodin siirtäminen, kohteiden tunnistaminen kuvissa, puzzlen ratkaiseminen — ellei jokin seuraavista ole totta:

• Vaihtoehto: käytettävissä on toinen todennusmenetelmä, joka ei edellytä kognitiivista tehtävää.
• Mekanismi: apua on saatavilla tehtävän suorittamiseen (salasananhallinnan automaattitäyttö, kopioi-liitä vahvistussähköpostista).
• Kohteiden tunnistaminen: tehtävä edellyttää vain kohteiden tunnistamista eikä puzzlen ratkaisemista (tämä poikkeus on kapea).
• Henkilökohtainen sisältö: tehtävä edellyttää vain käyttäjän itse toimittaman ei-tekstuaalisen sisällön tunnistamista (esim. oman profiilikuvan).

Tarkoituksena on mahdollistaa todennus kognitiivisista vammoista, muistihäiriöistä, dysleksiasta ja afasiasta kärsiville käyttäjille, jotka salasana- ja CAPTCHA-pohjaiset virrat järjestelmällisesti sulkevat ulkopuolelle.

Vaatimustenmukaisuuden saavuttaminen

• Salli salasananhallintaohjelmat: älä estä liittämistä salasanakentissä, älä poista automaattitäyttöä käytöstä, älä poista autocomplete="current-password" / autocomplete="new-password" -attribuutteja. Tämä yksittäinen muutos riittää usein onnistumiskriteerin täyttämiseen.
• Tue avainkoodejakin / WebAuthn: biometriset tai laitesidonnaiset tunnisteet ohittavat kognitiivisen tehtävän kokonaan.
• Tue OAuth / sosiaalinen kirjautuminen vaihtoehtoisena polkuna.
• Magilinkit: lähetä sähköpostitse yhden napsautuksen kirjautumislinkki salasanan muistamisen sijaan.
• Sähköposti- / SMS-koodit: varmista, että kopioi-liitä toimii viestistä kenttään, ja anna järjestelmän täyttää automaattisesti missä alusta sen tukee (esim. iOS SMS-koodin automaattitäyttö).
• Vältä kuva-CAPTCHA:ja (reCAPTCHA:n “klikkaa kaikki liikennevalot”), ellei kognitiivitonta vaihtoehtoa tarjota.
• Salli salasanan näyttämistoggle: auttaa dysleksiaa tai motorisia vaikeuksia kokevia käyttäjiä tarkistamaan syötteensä.

Yleiset virheet

• Kirjautumislomakkeet, jotka estävät liittämisen salasanakenttään — tämä yksittäinen estokaava hylkää 3.3.8:n suoraan salasananhallintaohjelmiin tukeutuvien käyttäjien osalta.
• autocomplete="off" salasanasyötteissä, mikä estää selaimen ja salasananhallinnan automaattitäytön.
• Kuvaruudukko-CAPTCHA:t ainoana varmistustoimenpiteenä ilman ääni- tai vaihtoehtoa.
• Monivaihetodennus, joka näyttää 6-numeroisen koodin yhdellä laitteella ja vaatii käyttäjää muistamaan ja kirjoittamaan sen toiseen ilman kopioi-liitä-mahdollisuutta.
• Kirjautumissivut, jotka vaativat käyttäjää tunnistamaan, missä yhdeksästä kuvasta on tietty kohde.
• “Turvakysymys”-virrat, jotka vaativat epämääräisten henkilökohtaisten tietojen muistamista (“ensimmäisen lemmikin nimi”) ilman varavaihtoehtoa.
• Salasanasäännöt, jotka kieltävät yleiset kaavat JA kieltävät liittämisen, pakottaen manuaaliseen syöttöön muistamattomalle merkkijonolle.
• Todennussovelluksen koodit ilman automaattitäyttösilta ja ilman kopiointitukea, mikä edellyttää siirtämistä 30 sekunnin ikkunan sisällä.

Miksi tämä on tärkeää

Tämä on WCAG 2.2:n lippulaivakriteeri ja se, joka todennäköisimmin pakottaa tuotemuutoksiin suurissa yrityksissä. Kognitiiviset vammat koskevat yli yhtä kymmenestä aikuisesta, ja “muista tämä salasana” -malli on aina epäonnistunut heidän kohdallaan — onnistumiskriteeri muodollistaa tämän epäonnistumisen vaatimustenmukaisuusongelmaksi.

Yleisin vaatimustenmukaisuuspolku on myös halvin: salli liittäminen, salli automaattitäyttö, tue avainkoodejakin, tue magilinkkejä. Monet olemassa olevat kirjautumissivut voivat tulla 3.3.8-vaatimustenmukaisiksi poistamalla kolme riviä liittämisen estävää koodia. CAPTCHA-korvaajat ovat vaikeampi ongelma — nykyaikaiset vaihtoehdot sisältävät laitepohjaiset riskipisteet (Cloudflare Turnstile, hCaptcha-näkymätön tila) ja käyttäytymisanalyysin, jotka ohittavat kognitiivisen tehtävän useimmilta käyttäjiltä.

3.3.8 tulee hallitsemaan 2.2-auditoinnin löydöksiä seuraavien useiden vuosien ajan.