Normen · WCAG 2.2

SC 3.3.8 Niveau AA WCAG 2.2 Nieuw in 2.2

Toegankelijke authenticatie (minimum)

Authenticatie mag niet vereisen dat de gebruiker een cognitieve functietest uitvoert — onthouden, overtikken, objecten herkennen — tenzij een alternatief of een hulpmiddel beschikbaar is. Wachtwoorden, afbeeldings-CAPTCHA's en codes-kopieer-uit-e-mailstromen zijn de veelvoorkomende fouten. Nieuw in WCAG 2.2.

Wat wordt vereist

Om te authenticeren mag de gebruiker niet worden verplicht een cognitieve functietest uit te voeren — een wachtwoord uit het geheugen opdiepen, een code overtikken, objecten in afbeeldingen herkennen of een puzzel oplossen — tenzij aan een van de volgende voorwaarden is voldaan:

  • Alternatief: een andere authenticatiemethode die geen cognitieve functietest vereist, is beschikbaar.
  • Hulpmiddel: ondersteuning is beschikbaar om de gebruiker de test te laten voltooien (automatisch invullen door een wachtwoordbeheerder, kopiëren en plakken vanuit een verificatie-e-mail).
  • Objectherkenning: de test vereist uitsluitend het herkennen van objecten, niet het oplossen van een puzzel (deze uitzondering is beperkt).
  • Persoonlijke inhoud: de test vereist uitsluitend het identificeren van niet-tekstuele inhoud die de gebruiker zelf heeft aangeleverd (bijv. de eigen profielfoto).

De bedoeling is authenticatie mogelijk te maken voor gebruikers met cognitieve beperkingen, geheugenbeperkingen, dyslexie en afasie, die stelselmatig worden uitgesloten door stromen op basis van wachtwoorden en CAPTCHA’s.

Hoe te voldoen

  • Sta wachtwoordbeheerders toe: blokkeer plakken in wachtwoordvelden niet, schakel automatisch invullen niet uit, verwijder autocomplete="current-password" / autocomplete="new-password" niet. Deze ene wijziging volstaat vaak om aan het succescriterium te voldoen.
  • Ondersteun passkeys / WebAuthn: een biometrische of apparaatgebonden credential omzeilt de cognitieve test volledig.
  • Ondersteun OAuth / aanmelden via sociale media als alternatief pad.
  • Magic links: stuur een eenklik-aanmeldlink per e-mail in plaats van het ophalen van een wachtwoord te vereisen.
  • E-mail- / sms-codes: zorg dat kopiëren en plakken vanuit het bericht naar het veld werkt, en laat het systeem automatisch invullen waar het platform dit ondersteunt (bijv. automatisch invullen van sms-codes op iOS).
  • Vermijd afbeeldings-CAPTCHA’s (reCAPTCHA „klik op alle verkeerslichten“) tenzij een niet-cognitief alternatief wordt aangeboden.
  • Sta het tonen van het wachtwoord toe: helpt gebruikers met dyslexie of motorische moeilijkheden hun invoer te controleren.

Veelvoorkomende fouten

  • Aanmeldformulieren die plakken in het wachtwoordveld blokkeren — dit ene anti-patroon doet 3.3.8 mislukken voor gebruikers die afhankelijk zijn van wachtwoordbeheerders.
  • autocomplete="off" op wachtwoordinvoervelden, waardoor automatisch invullen door browser en wachtwoordbeheerder wordt verhinderd.
  • Afbeeldingsraster-CAPTCHA’s als enige verificatiestap, zonder audio of alternatief.
  • Meervoudige authenticatiestromen die op één apparaat een 6-cijferige code tonen en vereisen dat de gebruiker deze memoriseert en op een ander apparaat typt zonder dat kopiëren en plakken mogelijk is.
  • Aanmeldpagina’s die de gebruiker verplichten aan te wijzen welke van negen afbeeldingen een specifiek object bevat.
  • „Beveiligingsvraag“-stromen die het ophalen van obscure persoonlijke gegevens vereisen („naam van eerste huisdier“) zonder terugvaloptie.
  • Wachtwoordregels die veelgebruikte patronen verbieden én plakken verbieden, waardoor handmatige invoer van een onmemorabele tekenreeks verplicht is.
  • Authenticator-app-codes zonder brug voor automatisch invullen en zonder ondersteuning voor kopiëren, waardoor overtikken binnen een venster van 30 seconden vereist is.

Waarom het belangrijk is

Dit is het meest opvallende nieuwe WCAG 2.2-criterium en het criterium dat bij grote organisaties het meest waarschijnlijk productwijzigingen afdwingt. Cognitieve beperkingen treffen meer dan 1 op de 10 volwassenen, en het model „onthoud dit wachtwoord“ heeft hen altijd gefaald — het succescriterium formaliseert dat falen als een conformiteitsprobleem.

De meest gangbare weg naar naleving is ook de goedkoopste: sta plakken toe, sta automatisch invullen toe, ondersteun passkeys, ondersteun magic links. Veel bestaande aanmeldpagina’s kunnen WCAG 2.2-conform worden gemaakt voor 3.3.8 door slechts drie regels anti-plakcode te verwijderen. CAPTCHA-vervanging is het moeilijkere vraagstuk — moderne alternatieven zijn apparaatgebaseerde risicobeoordeling (Cloudflare Turnstile, hCaptcha invisible mode) en gedragsanalyse, die de cognitieve test voor de meeste gebruikers omzeilen.

Verwacht dat 3.3.8 de 2.2-auditbevindingen de komende jaren zal domineren.