SC 3.3.8 级别 AA WCAG 2.2 2.2 版新增
无障碍身份验证(最低要求)
身份验证不得要求用户解决认知功能测试——记忆、转录、识别对象——除非提供了替代方案或辅助机制。密码、图形验证码以及“从邮件中复制验证码”流程是常见的失败情形。WCAG 2.2 新增准则。
要求内容
在进行身份验证时,不得要求用户执行认知功能测试——从记忆中回忆密码、转录验证码、识别图像中的对象、解决谜题——除非满足以下条件之一:
- 替代方案:提供另一种不需要认知功能测试的身份验证方式。
- 辅助机制:提供帮助用户完成测试的辅助手段(密码管理器自动填充、从验证邮件中复制粘贴)。
- 对象识别:测试仅要求识别对象,而非解决谜题(此例外范围狭窄)。
- 个人内容:测试仅要求识别用户本人提供的非文本内容(例如其个人头像)。
本准则的目的是使有认知障碍、记忆障碍、阅读障碍和失语症的用户能够完成身份验证,这些用户长期以来被基于密码和验证码的流程所排除。
如何满足要求
- 允许使用密码管理器:不要阻止向密码字段粘贴内容,不要禁用自动填充,不要去除
autocomplete="current-password"/autocomplete="new-password"。仅此一项变更,往往便足以满足本成功准则。 - 支持通行密钥 / WebAuthn:生物特征或设备绑定凭证完全绕过认知测试。
- 支持 OAuth / 社交登录作为替代路径。
- 魔法链接:通过电子邮件发送一键登录链接,而非要求用户回忆密码。
- 电子邮件 / 短信验证码:确保可以从消息中复制粘贴到输入字段,并在平台支持时允许系统自动填充(例如 iOS 短信验证码自动填充)。
- 避免图形验证码(reCAPTCHA 的”点击所有红绿灯”),除非提供非认知类替代方案。
- 允许显示密码切换按钮:帮助有阅读障碍或运动困难的用户核对输入内容。
常见失败情形
- 登录表单阻止向密码字段粘贴——这一单一反模式对依赖密码管理器的用户而言直接导致 3.3.8 失败。
- 在密码输入框上设置
autocomplete="off",阻止浏览器和密码管理器自动填充。 - 将图形网格验证码作为唯一验证步骤,且不提供音频或替代方案。
- 多因素流程在一台设备上显示 6 位数验证码,却要求用户记住后在另一台设备上输入,且不支持复制粘贴。
- 登录页面要求用户从九张图片中识别出包含特定对象的图片。
- “安全问题”流程要求用户回忆模糊的个人数据(“第一只宠物的名字”),且没有回退选项。
- 密码规则既禁止常见模式,又禁止粘贴,迫使用户手动输入难以记忆的字符串。
- 身份验证器应用验证码无法自动填充且不支持复制,要求用户在 30 秒内完成转录。
重要性
这是 WCAG 2.2 最重要的新增成功准则,也是最有可能迫使大型企业进行产品变更的准则。认知障碍影响超过十分之一的成年人,“记住密码”这一模式一直以来都让他们举步维艰——本成功准则正式将此类失败认定为合规问题。
最常见的合规路径也是成本最低的:允许粘贴、允许自动填充、支持通行密钥、支持魔法链接。许多现有登录页面只需删除三行反粘贴代码即可达到 3.3.8 合规。验证码替代方案是更难解决的问题——现代替代方案包括基于设备的风险评分(Cloudflare Turnstile、hCaptcha 隐形模式)和行为分析,两者对大多数用户而言均可绕过认知测试。
预计 3.3.8 将在未来数年内主导 2.2 版本审计的发现结果。