Standardy · WCAG 2.2

SC 3.3.8 Poziom AA WCAG 2.2 Nowość w 2.2

Dostępne uwierzytelnianie (minimum)

Uwierzytelnianie nie może wymagać od użytkownika rozwiązywania testu funkcji poznawczych — zapamiętywania, przepisywania, rozpoznawania obiektów — chyba że dostępna jest alternatywa lub mechanizm wspomagający. Hasła, CAPTCHA obrazkowe i przepisywanie kodów z e-maila to najczęstsze błędy. Nowość w WCAG 2.2.

Czego wymaga

Aby się uwierzytelnić, użytkownik nie może być zobowiązany do wykonywania testu funkcji poznawczych — przypominania sobie hasła z pamięci, przepisywania kodu, identyfikowania obiektów na obrazach, rozwiązywania zagadki — chyba że spełniony jest jeden z poniższych warunków:

  • Alternatywa: dostępna jest inna metoda uwierzytelniania niewymagająca testu funkcji poznawczych.
  • Mechanizm: dostępna jest pomoc umożliwiająca użytkownikowi ukończenie testu (autouzupełnianie przez menedżer haseł, kopiowanie i wklejanie z e-maila weryfikacyjnego).
  • Rozpoznawanie obiektów: test wymaga jedynie rozpoznania obiektów, a nie rozwiązania zagadki (ten wyjątek jest wąski).
  • Treść osobista: test wymaga jedynie identyfikacji treści nietekstowych dostarczonych przez samego użytkownika (np. własne zdjęcie profilowe).

Celem jest umożliwienie uwierzytelniania użytkownikom z niepełnosprawnościami poznawczymi, zaburzeniami pamięci, dysleksją i afazją, którzy są systematycznie wykluczani przez procesy oparte na hasłach i CAPTCHA.

Jak to spełnić

  • Zezwalaj na menedżery haseł: nie blokuj wklejania w polach haseł, nie wyłączaj autouzupełniania, nie usuwaj atrybutów autocomplete="current-password" ani autocomplete="new-password". Ta jedna zmiana często wystarcza, by spełnić kryterium.
  • Obsługuj klucze dostępu / WebAuthn: poświadczenie biometryczne lub powiązane z urządzeniem całkowicie pomija test poznawczy.
  • Obsługuj OAuth / logowanie przez konta społecznościowe jako alternatywną ścieżkę.
  • Magiczne linki: wysyłaj jednoklikalny link logowania e-mailem zamiast wymagać przypominania sobie hasła.
  • Kody e-mail / SMS: upewnij się, że kopiowanie i wklejanie z wiadomości do pola działa, i pozwól systemowi autouzupełniać tam, gdzie platforma to obsługuje (np. autouzupełnianie kodu SMS na iOS).
  • Unikaj CAPTCHA obrazkowych (reCAPTCHA „kliknij wszystkie sygnalizatory”) chyba że oferowana jest niekognitywna alternatywa.
  • Zezwalaj na przełącznik pokazywania hasła: pomaga użytkownikom z dysleksją lub trudnościami motorycznymi zweryfikować wprowadzone dane.

Typowe błędy

  • Formularze logowania blokujące wklejanie w polu hasła — ten jeden antywzorzec powoduje niepowodzenie 3.3.8 dla użytkowników zależnych od menedżerów haseł.
  • Atrybut autocomplete="off" na polach haseł, uniemożliwiający autouzupełnianie przez przeglądarkę i menedżer haseł.
  • CAPTCHA z siatką obrazków jako jedyny krok weryfikacji, bez wersji dźwiękowej ani alternatywy.
  • Procesy wieloskładnikowe wyświetlające 6-cyfrowy kod na jednym urządzeniu i wymagające jego zapamiętania i wpisania na innym, bez możliwości kopiowania i wklejania.
  • Strony logowania wymagające od użytkownika wskazania, który z dziewięciu obrazków zawiera określony obiekt.
  • Procesy „pytań bezpieczeństwa” wymagające przypomnienia sobie niejasnych danych osobowych (np. „imię pierwszego zwierzęcia domowego”) bez opcji zastępczej.
  • Reguły haseł zabraniające popularnych wzorców I wklejania, wymuszające ręczne wpisywanie niemożliwego do zapamiętania ciągu.
  • Kody z aplikacji uwierzytelniającej bez mostka autouzupełniania i bez obsługi kopiowania, wymagające przepisania w oknie 30 sekund.

Dlaczego to ważne

To flagowe nowe kryterium WCAG 2.2 i to, które z największym prawdopodobieństwem wymusi zmiany produktowe w dużych firmach. Niepełnosprawności poznawcze dotykają ponad 1 na 10 dorosłych, a model „zapamiętaj to hasło” zawsze im nie służył — kryterium formalizuje to niepowodzenie jako kwestię zgodności.

Najczęstsza ścieżka zgodności jest też najtańsza: zezwól na wklejanie, zezwól na autouzupełnianie, obsługuj klucze dostępu, obsługuj magiczne linki. Wiele istniejących stron logowania może stać się zgodnych z 3.3.8 przez usunięcie kilku linii kodu blokującego wklejanie. Zastąpienie CAPTCHA to trudniejszy problem — nowoczesne alternatywy obejmują ocenianie ryzyka na podstawie urządzenia (Cloudflare Turnstile, hCaptcha w trybie niewidocznym) oraz analizę behawioralną, które dla większości użytkowników pomijają test poznawczy.

Spodziewaj się, że 3.3.8 będzie dominować w wynikach audytów 2.2 przez kolejne kilka lat.