Dieses WCAG-Kriterium verlangt, dass bei der Authentifizierung (z. B. Login) keine Aufgaben nötig sind, die das Gedächtnis oder das kognitive Vermögen stark überfordern.
Das bedeutet, wenn Nutzende sich irgendwo einloggen, sollte das System nicht verlangen, dass sie:
- sie sich jedes Mal ein schwieriges Passwort merken müssen,
- Zahlen oder Buchstaben von einem Bild oder Audio herauslesen (Transkription),
- ein Rätsel oder eine Aufgabe mit hoher Denkanstrengung lösen.
Stattdessen sollen Methoden zur Verfügung stehen, die weniger kognitive Belastung mit sich bringen; z. B. durch automatische Ausfüllfunktion. Ausnahmen gelten also, wenn keine erinnerungs-, transkriptions- oder komplexe Denkaufgabe nötig ist. Dazu zählen auch objektbasierte Methoden (z. B. Sicherheitsschlüssel), biometrische Verfahren (Fingerabdruck, Gesichtserkennung) oder einfache Aufgaben wie eine Grundrechenart. Ebenso gilt es als Ausnahme, wenn eine barrierefreie Alternative zur Auswahl steht.
Tipps und Infos zur Umsetzung des WCAG-Kriteriums 3.3.8
Hier kommen von uns noch ein paar Tipps und Infos zur Umsetzung des WCAG-Kriteriums 3.3.8:
- Alternative Authentifizierungsmethoden anbieten: Wenn das System etwa ein Passwort verlangt (das auf Erinnerung basiert), sollte eine andere Methode möglich sein, die kein starkes Erinnerungsvermögen voraussetzt (z. B. Login mit Gerät, biometrisch, PIN).
- Passwortmanager unterstützen: Felder so gestalten, dass Nutzer ihren Passwortmanager einsetzen können; also automatische Ausfüllung zulassen.
- Copy & Paste erlauben: Nutzer dürfen ihr Passwort oder sonstige Codes aus der Zwischenablage einfügen. Verhindere nicht, dass man Inhalte kopieren oder einfügen kann.
- Vermeidung von Einmal-Codes, die transkribiert werden müssen: Falls ein Code geschickt wird, sollte man ihn kopieren/einfügen oder ein Mechanismus zur Verfügung stehen, der das manuelle Abtippen reduziert oder überflüssig macht.
- Option „Passwort sichtbar machen“: Beim Eintippen eines Passworts kann eine Option helfen, das eingegebene Passwort temporär sichtbar zu machen, um Tippfehler zu vermeiden und die Last zu verringern.
- Vermeide Captchas, die Transkription oder Rätsel erfordern: Wenn CAPTCHAs eingesetzt werden, muss es eine Zugangsweise geben, die kein kognitiver Test ist (oder jedenfalls so einfach wie möglich).
- Mehrere Optionen bei Zwei-Faktor-Authentifizierung (2FA): Nutzer sollten wählen können, wie der zweite Faktor funktioniert; idealerweise eine Option, die wenig kognitive Belastung hat.
Bei Fragen beraten wir dich gerne. Mehr Infos zu diesem Kriterium findest du auch auf der folgenden englischen WAI-Seite zum WCAG-Kriterium 3.3.8 Barrierefreie Authentifizierung (Minimum).