Standardy · WCAG 2.2

SC 3.3.9 Poziom AAA WCAG 2.2 Nowość w 2.2

Dostępne uwierzytelnianie (rozszerzone)

Uwierzytelnianie nie może wymagać żadnego testu funkcji poznawczych, nawet rozpoznawania obiektów ani identyfikowania treści osobistych. Ulepszenie AAA kryterium 3.3.8 — klucze dostępu, biometria i poświadczenia powiązane z urządzeniem stają się praktycznymi ścieżkami. Nowość w WCAG 2.2.

Czego wymaga

To kryterium AAA usuwa dwa wąskie wyjątki dopuszczone na poziomie AA (3.3.8): rozpoznawanie obiektów i identyfikowanie treści osobistych są również zabronione. Uwierzytelnianie nie może wymagać testu funkcji poznawczych żadnego rodzaju, bez wyjątków — chyba że dostępna jest alternatywna metoda uwierzytelniania niewymagająca testu funkcji poznawczych.

W praktyce oznacza to, że w procesie musi istnieć w pełni dostępna opcja uwierzytelniania, nawet jeśli inne opcje pozostają.

Jak to spełnić

  • Oferuj klucze dostępu / WebAuthn jako opcję pierwszej klasy — korzystają z biometrii urządzenia lub odblokowania kodem PIN, bez testu poznawczego.
  • Oferuj logowanie magicznym linkiem przez e-mail jako alternatywę bez testu poznawczego.
  • Obsługuj OAuth / logowanie przez konta społecznościowe.
  • Obsługuj sprzętowe klucze bezpieczeństwa (FIDO2).
  • Zadbaj, aby niezależnie od tego, gdzie użytkownik trafi, co najmniej jedna z tych ścieżek była osiągalna bez CAPTCHA ani metody opartej na przypominaniu sobie danych.

Typowe błędy

  • Witryny spełniające 3.3.8 jedynie przez zezwolenie na menedżery haseł, bez opcji biometrycznej, klucza dostępu ani magicznego linku dla użytkowników nieużywających menedżerów haseł.
  • Uwierzytelnianie wymagające identyfikacji własnego zdjęcia profilowego użytkownika (rozpoznawanie obiektów / treści osobistych) — dopuszczalne dla AA, niezgodne z AAA.
  • Uwierzytelnianie podwyższonego poziomu dla wrażliwych działań, które zawsze eskaluje do testu opartego na przypominaniu sobie danych.

Dlaczego to ważne

AAA rzadko jest celem zgodności, ale dla usług o wysokiej stawce — bankowości, portali medycznych, systemów tożsamości rządowej — spełnienie 3.3.9 jest coraz częściej właściwą decyzją produktową. Klucze dostępu są teraz szeroko obsługiwane na iOS, Androidzie, Windows i macOS, i spełniają kryterium dla grup użytkowników, które najbardziej tego potrzebują. Droga od 3.3.8 do 3.3.9 to zazwyczaj jedna inwestycja produktowa: dodanie obsługi kluczy dostępu jako podstawowej metody uwierzytelniania.