Tillgänglig autentisering (utökad)

Vad det kräver

Detta AAA-kriterium tar bort de två snäva undantag som tillåts på AA (3.3.8): igenkänning av objekt och identifiering av personligt innehåll är också förbjudna. Autentisering får inte kräva något kognitivt funktionstest av något slag, utan undantag – såvida inte en alternativ autentiseringsmetod som inte kräver ett kognitivt funktionstest finns tillgänglig.

I praktiken innebär det att ett fullt tillgängligt autentiseringsalternativ finns tillgängligt någonstans i flödet, även om andra alternativ kvarstår.

Hur man uppfyller det

• Erbjud lösenordsnycklar / WebAuthn som ett förstahandsalternativ – de använder enhetens biometriska eller PIN-baserade upplåsning, inget kognitivt test krävs.
• Erbjud inloggning via magisk länk via e-post som ett alternativ utan kognitivt test.
• Stöd OAuth / inloggning med socialt konto.
• Stöd hårdvarusäkerhetsnycklar (FIDO2).
• Se till att användaren, oavsett var hen hamnar i flödet, kan nå minst ett av dessa alternativ utan CAPTCHA eller återkallelsesbaserat reservalternativ.

Vanliga fel

• Webbplatser som uppfyller 3.3.8 enbart genom att tillåta lösenordshanterare, utan biometriskt, lösenordsnyckelsbaserat eller magiskt-länksbaserat alternativ för användare som inte använder lösenordshanterare.
• Autentisering som kräver att användaren identifierar sin profilbild (igenkänning av objekt / personligt innehåll) – godkänt för AA, men inte AAA.
• Stegrad autentisering för känsliga åtgärder som alltid eskalerar till ett återkallelsesbaserat test.

Varför det är viktigt

AAA är sällan ett efterlevnadsmål, men för tjänster med hög insats – bank, vårdportaler, statliga identitetssystem – är det alltmer rätt produktbeslut att uppfylla 3.3.9. Lösenordsnycklar stöds nu brett på iOS, Android, Windows och macOS, och de uppfyller kriteriet för de användargrupper som behövde det mest. Vägen från 3.3.8 till 3.3.9 är vanligtvis en enda produktinvestering: lägg till stöd för lösenordsnycklar som primär autentiseringsmetod.