Objaśnienie KS 3.3.8:Dostępne uwierzytelnianie (minimum) (Poziom AA)
W skrócie
- Cel
- Umożliwiaj logowanie przy mniejszym wysiłku umysłowym.
- Co robić
- Nie zmuszaj ludzi do rozwiązywania, przypominania sobie lub przepisywania czegoś, aby się zalogować.
- Dlaczego to jest ważne
- Niektóre osoby z problemami poznawczymi nie mogą rozwiązywać zagadek, zapamiętywać nazwy użytkownika i hasła lub przepisywać jednorazowych kodów dostępu.
Intencja
Celem tego kryterium sukcesu jest zapewnienie dostępnej, łatwej w użyciu i bezpiecznej metody logowania. Większość witryn internetowych korzysta z nazw użytkowników i haseł do logowania. Zapamiętanie lub przepisanie nazwy użytkownika, hasła lub jednorazowego kodu weryfikacyjnego stanowi bardzo duże lub niemożliwe obciążenie dla osób z pewnymi problemami poznawczymi.
Chociaż strony internetowe mogą wykorzystywać rozpoznawanie obiektów lub treści nietekstowych dostarczonych przez użytkownika w celu spełnienia tego kryterium sukcesu, takie techniki nie wspierają w pełni osób z niepełnosprawnościami poznawczymi i należy ich unikać, jeśli to możliwe. Zapoznaj się z Dostępne uwierzytelnianie (wzmocnione), aby uzyskać wskazówki dotyczące większej integracji i dostępności.
Testy funkcji poznawczych
Zapamiętanie hasła specyficznego dla witryny jest testem funkcji poznawczych. Wiadomo, że takie testy są problematyczne dla wielu osób z niepełnosprawnością poznawczą. Niezależnie od tego, czy chodzi o zapamiętywanie losowych ciągów znaków, czy o odwzorowanie gestu na ekranie dotykowym, testy funkcji poznawczych wykluczą niektóre osoby. W przypadku stosowania testu funkcji poznawczych musi być dostępna co najmniej jedna inna metoda uwierzytelniania, która nie jest testem funkcji poznawczych.
Jeśli w procesie uwierzytelniania jest więcej niż jeden krok, na przykład w przypadku uwierzytelniania wieloskładnikowego, wszystkie kroki muszą być zgodne z tym kryterium sukcesu. Musi istnieć ścieżka uwierzytelniania, która nie opiera się na testach funkcji poznawczych.
Możliwość odzyskania lub zmiany adresu e-mail i hasła jest ważną częścią uwierzytelniania. Jeśli użytkownik uwierzytelnia się za pomocą alternatywnych informacji w celu odzyskania konta, musi istnieć metoda, która nie jest testem funkcji poznawczych.
Wiele organizacji jest zobowiązanych do stosowania uwierzytelniania dwuskładnikowego, które łączy niezależne źródła w celu potwierdzenia tożsamości użytkownika. Źródła te mogą polegać na łączeniu uwierzytelniania poprzez:
- wiedzę (np. hasło, litery w haśle lub zapamiętana ścieżka przeciągnięcia);
- (np. posiadanie kodu weryfikacyjnego wygenerowanego lub odebranego na urządzeniu lub zeskanowanie kodu QR na urządzeniu zewnętrznym);
- dane biometryczne (np. skanowanie odcisków palców, rozpoznawanie twarzy lub dynamika naciśnięć klawiszy).
Większość metod uwierzytelniania opartych na wiedzy opiera się na teście funkcji poznawczych, więc muszą być dostępne mechanizmy pomagające użytkownikom. Gdy uwierzytelnianie polega na wykonaniu czynności na oddzielnym urządzeniu, powinno być możliwe wykonanie tej czynności bez konieczności przepisywania informacji. Może nie być możliwe poznanie metod uwierzytelniania opartych na urządzeniach dostępnych dla użytkownika; oferowanie wyboru metod może pozwolić im wybrać ścieżkę, która najbardziej im odpowiada.
Metody uwierzytelniania
Strony internetowe mogą wykorzystywać wprowadzanie nazwy użytkownika (lub adresu e-mail) i hasła jako metodę uwierzytelniania, jeśli autor zezwoli programowi użytkownika (przeglądarkom i aplikacjom do zarządzania hasłami innych firm) na automatyczne wypełnianie pól. Ogólnie rzecz biorąc, jeśli formularz logowania spełnia kryterium sukcesu 1.3.5 Określenie pożądanej wartości, a kontrolki formularza mają odpowiednią dostępną nazwę zgodnie z kryterium sukcesu 4.1.2 Nazwa, rola, wartość, program użytkownika powinien być w stanie niezawodnie rozpoznać pola i automatycznie je wypełnić. Jeśli jednak program użytkownika jest aktywnie blokowany przed wypełnieniem pól (na przykład przez skrypt), wówczas strona nie spełni tego kryterium, ponieważ uniemożliwia działanie mechanizmu.
Kopiuj i wklej
Kopiowanie i wklejanie pozwala uniknąć przepisywania. Użytkownicy mogą skopiować swoje dane logowania z lokalnego źródła (takiego jak samodzielna aplikacja do zarządzania hasłami innej firmy) i wkleić je w polach nazwy użytkownika i polach hasła w formularzu logowania lub w internetowych interfejsach wiersza poleceń z prośbą o podanie hasła. Zablokowanie możliwości wklejania danych do pól uwierzytelniania lub użycie innego formatu między skopiowanym tekstem a polem wprowadzania (na przykład „Wprowadź trzeci, czwarty i szósty znak swojego hasła”) zmusiłoby użytkownika do przepisania informacji, a tym samym nie spełniłoby tego kryterium, chyba że dostępna jest inna metoda.
Systemy uwierzytelniania dwuskładnikowego (kody weryfikacyjne)
Oprócz nazw użytkowników i haseł, niektóre witryny mogą korzystać z uwierzytelniania dwuskładnikowego, prosząc użytkownika o wprowadzenie kodu weryfikacyjnego (zwanego również kodem dostępu lub hasłem jednorazowym). Usługa wymagająca ręcznego przepisania kodu weryfikacyjnego nie zapewnia zgodności. Podobnie jak w przypadku nazw użytkowników i haseł, użytkownik musi mieć możliwość przynajmniej wklejenia kodu (np. z samodzielnej zewnętrznej aplikacji do zarządzania hasłamił, aplikacji do obsługi wiadomości tekstowych lub klucza bezpieczeństwa opartego na oprogramowaniu) lub umożliwienia programom użytkownika automatycznego wypełniania pól.
Istnieją scenariusze, w których kod weryfikacyjny musi zostać odebrany lub wygenerowany na urządzeniu dodatkowym. Na przykład uwierzytelnianie w przeglądarce internetowej na laptopie wymaga kodu weryfikacyjnego, który jest wysyłany jako wiadomość tekstowa SMS na telefon komórkowy. Jednak w większości przypadków możliwe jest wysłanie kodu bezpośrednio na urządzenie główne, gdzie można go skopiować i wkleić (na przykład kopiując kod na urządzeniu dodatkowym i wysyłając go e-mailem na urządzenie główne lub korzystając ze współdzielonego schowka między urządzeniami, w którym kopiowanie treści na urządzeniu dodatkowym udostępnia ją do wklejenia na urządzeniu głównym). Ocena, czy kod można płynnie przenieść z urządzenia dodatkowego na urządzenie podstawowe, wykracza poza zakres tego kryterium sukcesu. Do celów oceny treści internetowych, które opierają się na uwierzytelnianiu przy użyciu tego typu systemów urządzeń dodatkowych, zakłada się, że zapewniona jest możliwość udostępniają kodu w schowku użytkownika. Ocena tego kryterium wymaga zatem jedynie sprawdzenia, czy zawartość strony internetowej umożliwia wklejenie zawartości schowka w powiązanym polu wyzwania uwierzytelniania.
Należy pamiętać, że systemy dwuskładnikowe, które nie opierają się na kodach - w tym sprzętowe urządzenia uwierzytelniające (takie jak YubiKey), aplikacje pomocnicze (na tym samym urządzeniu głównym lub na urządzeniu dodatkowym), które oczekują od użytkownika potwierdzenia, że to rzeczywiście on próbuje się zalogować, oraz metody uwierzytelniania zapewniane przez system operacyjny użytkownika (takie jak Windows Hello lub Touch ID/Face ID w macOS i iOS) - nie są testem funkcji poznawczych.
Rozpoznawanie obiektów
Jeśli CAPTCHA jest używane jako część procesu uwierzytelniania, musi istnieć metoda, która nie obejmuje testu funkcji poznawczych, chyba że spełnia wyjątek. Jeśli test opiera się na czymś ustawionym przez stronę internetową, takim jak zapamiętywanie lub przepisywanie słowa lub rozpoznawanie obrazu dostarczonego przez stronę internetową, byłby to test funkcji poznawczych. Rozpoznawanie obiektów lub obrazków dostarczonych przez użytkownika jest testem funkcji poznawczych, jednak jest on wyłączony na poziomie AA.
Obiekt w tym kontekście oznacza ogólną angielską definicję („materialna rzecz, którą można zobaczyć i dotknąć”) i może obejmować pojazdy i zwierzęta. Jeśli test wykracza poza rozpoznawanie (np. pomnożenie liczby kotów przez liczbę psów), nie spełnia to wyjątku.
Niektóre formy rozpoznawania obiektów mogą wymagać zrozumienia konkretnej kultury. Na przykład taksówki mogą wyglądać inaczej w różnych miejscach. Jest to problem dla wielu osób, w tym osób z niepełnosprawnościami, ale nie jest on uważany za kwestię związaną z dostępnością.
Niektóre CAPTCHA i testy funkcji poznawczych używane do uwierzytelniania mogą pojawiać się tylko w określonych sytuacjach, takich jak obecność blokerów reklam lub po wielokrotnym wprowadzeniu nieprawidłowego hasła. Kryterium to ma zastosowanie w przypadku korzystania z tych testów, niezależnie od tego, czy są one używane za każdym razem, czy tylko uruchamiane przez określone scenariusze.
Istnieje szereg technologii, które można zastosować, aby zapobiec nadużyciom procesu uwierzytelniania przez skrypty.
- 1.1.1. Rate-limited Access (Dostęp ograniczony w czasie)
- 1.1.2. Client Geo-Location (Geolokalizacja użytkownika)
- 1.1.3. Private Client Authentication (Uwierzytelnianie kluczem prywatnym)
Żaden z tych systemów nie jest w 100% skuteczny. Mogą one jednak zmniejszyć prawdopodobieństwo wyświetlenia CAPTCHA.
Treść osobista
Treści osobiste są czasami wykorzystywane jako drugi czynnik uwierzytelniania. Na przykład, w ramach tworzenia konta użytkownik mógłby przesłać zdjęcie, a podczas logowania zostałby poproszony o wybranie tego zdjęcia spośród kilku możliwych alternatyw. W tym przypadku należy zadbać o zapewnienie odpowiedniego bezpieczeństwa, ponieważ nieuprawnieni użytkownicy mogą być w stanie odgadnąć prawidłową treść osobistą, gdy zostanie im przedstawiony wybór.
Treści osobiste oparte na tekście nie kwalifikują się do tego wyjątku, ponieważ opierają się na przypominniu sobie (a nie rozpoznawaniu) i wpisaniu (a nie wybieraniu elementu). Podczas gdy treści osobiste oparte na obrazach nadal będą stanowić barierę dla niektórych osób, wersje tekstowe stanowią znacznie większą barierę.
Ukrywanie znaków
Innym czynnikiem, który może przyczyniać się do obciążenia poznawczego, jest ukrywanie znaków podczas pisania. Chociaż to kryterium wymaga, aby użytkownicy nie musieli wpisywać (transkrybować) hasła, istnieją scenariusze, w których jest to konieczne, takie jak tworzenie hasła do zapisania przez aplikację do zarządzania hasłami. Zapewnienie funkcji opcjonalnego wyświetlania hasła może zwiększyć szansę powodzenia dla niektórych osób z problemami poznawczymi lub osób, które mają trudności z dokładnym wpisywaniem.
Korzyści
Osoby z problemami poznawczymi związanymi z pamięcią, czytaniem (np. dysleksja), liczbami (np. dyskalkulia) lub ograniczeniami w przetwarzaniu postrzegania będą w stanie uwierzytelnić się niezależnie od poziomu ich zdolności poznawczych.
Przykłady
Przykłady tego kryterium sukcesu są takie same jak przykłady Dostępnego uwierzytelniania (ulepszonego).
- Strona internetowa wykorzystuje odpowiednio oznaczone pola nazwy użytkownika (lub adresu e-mail) i hasła jako uwierzytelnienie logowania (spełnienie kryterium sukcesu 1.3.5 Określenie pożądanej wartości i kryterium sukcesu 4.1.2: Nazwa, rola, wartość). Przeglądarka użytkownika lub zintegrowane rozszerzenie aplikacji do zarządzania hasłami innej firmy może określić cel wprowadzania danych i automatycznie wypełnić nazwę użytkownika i hasło.
- Strona internetowa nie blokuje funkcji wklejania. Użytkownik może korzystać z zewnętrznej aplikacji do zarządzania hasłami do przechowywania poświadczeń, kopiowania ich i wklejania bezpośrednio do formularza logowania.
- Strona internetowa używa WebAuthn, aby użytkownik mógł uwierzytelnić się za pomocą swojego urządzenia zamiast nazwy użytkownika/hasła. Urządzenie użytkownika może korzystać z dowolnej dostępnej modalności. Typowe metody stosowane w laptopach i telefonach to skanowanie twarzy, odcisk palca i PIN (osobisty numer identyfikacyjny). Witryna nie wymusza żadnego konkretnego sposobu, zakłada się, że użytkownik skonfiguruje metodę, która mu odpowiada.
- Strona internetowa oferuje możliwość logowania się za pomocą zewnętrznego dostawcy przy użyciu metody OAuth.
- Strona internetowa, która wymaga uwierzytelniania dwuskładnikowego, umożliwia wiele opcji dla drugiego czynnika, w tym metodę opartą na USB, w której użytkownik po prostu naciska przycisk, aby wprowadzić token czasowy.
- Strona internetowa wymagająca uwierzytelniania dwuskładnikowego wyświetla kod QR, który może zostać zeskanowany przez aplikację na urządzeniu użytkownika w celu potwierdzenia tożsamości.
- Strona internetowa wymagająca uwierzytelniania dwuskładnikowego wysyła powiadomienie na urządzenie użytkownika. Użytkownik musi użyć mechanizmu uwierzytelniania swojego urządzenia (na przykład zdefiniowanego przez użytkownika kodu PIN, odcisku palca, rozpoznawania twarzy), aby potwierdzić tożsamość.
Powiązane zasoby
Zasoby służą wyłącznie celom informacyjnym. Nie należy traktować ich jako zaleceń.
- Cognitive Accessibility Gap Analysis Topic 1: Authentication and Safety (Analiza luk w dostępności poznawczej Temat 1: Uwierzytelnianie i bezpieczeństwo)
- Cognitive Accessibility Issue Papers 4. Web Security and Privacy Technologies (Dokumenty dotyczące dostępności poznawczej 4. Technologie bezpieczeństwa i prywatności w Internecie) oraz Web Security and Privacy Technologies (Technologie bezpieczeństwa i prywatności w Internecie)
- Tworzenie użytecznych treści dla osób z zaburzeniami poznawczymi i trudnościami w uczeniu się 4.7.1 Zapewnienie logowania, które nie opiera się na pamięci lub innych umiejętnościach poznawczych
- WebAuthN specification (Specyfikacja WebAuthN)
- WebAuthN Demo site (Strona demonstracyjna WebAuthN)
- Web Authentication API on MDN (API uwierzytelniania internetowego na MDN)
- OAuth on Wikipedia (OAuth w Wikipedii)
- "Let them paste passwords", from the UK's National Cyber Security Centre („Niech wklejają hasła”, z Bbrytyjskiego Narodowego Centrum Cyberbezpieczeństwa)
Techniki
Każdy numerowany element w tej sekcji reprezentuje technikę lub kombinację technik, które Grupa Robocza WCAG uważa za wystarczające do spełnienia tego kryterium sukcesu. Nie jest jednak konieczne stosowanie tych konkretnych technik. Aby uzyskać informacje na temat stosowania innych technik, zobacz Objaśnienie technik dla kryteriów sukcesu WCAG, szczególnie w sekcji „Inne techniki”.
Techniki wystarczające
- G218: Uwierzytelnianie linków e-mail
- H100: Zapewnienie odpowiednio oznaczonych danych wejściowych e-mail i hasła
- Udostępnianie WebAuthn jako alternatywy dla nazwy użytkownika/hasła (potencjalna przyszła technika)
- Zapewnienie logowania strony trzeciej przy użyciu OAuth (potencjalna przyszła technika)
- Korzystanie z dwóch technik w celu zapewnienia uwierzytelniania dwuskładnikowego (potencjalna przyszła technika)
Błędy
Poniżej wymieniono typowe błędy, które Grupa Robocza WCAG uważa za niespełnienie tego kryterium sukcesu.
Kluczowe pojęcia
język stosujący kombinację gestów dłoni i ramion, mimiki twarzy i pozycji ciała, w celu przekazania informacji.
język mówiony, pisany lub język migowy (znaków zarówno wizualnych, jak dotykowych) służący do komunikowania się między ludźmi.
Uwaga
Zobacz także język migowy.
procedura lub technika prowadząca do osiągnięcia rezultatu
Uwaga
Mechanizm może być dostarczany bezpośrednio w treści albo może być oparty zarówno na platformie, jak i na oprogramowaniu użytkownika, w tym na technologiach wspomagających.
Uwaga
Mechanizm wymaga spełnienia wszystkich kryteriów sukcesu żądanych dla danego poziomu.
takie przedstawienie danych przez oprogramowanie dostawcy, które pozwala różnym programom użytkownika, w tym technologiom wspomagającym, odczytać i przedstawić daną informację w sposób, jakiego potrzebuje użytkownik
renderowanie treści w sposób, który jest postrzegalny dla użytkownika
seria czynności użytkownika, gdzie każda czynność jest niezbędna do zakończenia działania
oprogramowanie umożliwiające pobieranie i przeglądanie treści internetowych
nieosadzony zasób uzyskany z pojedynczego identyfikatora URI za pomocą protokołu HTTP wraz z wszelkimi innymi zasobami użytymi do renderowania strony w programie użytkownika lub takimi, które potencjalnie mogą być użyte do renderowania
Uwaga
Mimo że każdy z „pozostałych zasobów” mógłby być renderowany razem z podstawowym zasobem, to niekoniecznie muszą być renderowane równocześnie.
Uwaga
W celu zgodności z niniejszymi wytycznymi, zasób nie może być „osadzony” w innym zasobie wchodzącym w zakres oceny zgodności, aby można go było uznać za stronę internetową.
- Sposób, w jaki poszczególne części strony internetowej są ułożone i połączone ze sobą; oraz
- Sposób ułożenia zbioru stron internetowych.
albo ASCII art - proste rysunki tworzone za pomocą znaków lub glifów układanych na obszarze o stałej szerokości kolumn oraz o stałej wysokości znaków (zazwyczaj z 95 możliwych do wydrukowania znaków zdefiniowanych przez ASCII). Ten sposób tworzenia grafiki, a raczej jej symbolizowania, nazywa się semigrafiką lub pseudografiką. ASCII art były początkowo tworzone z myślą o wydrukowaniu ich na drukarkach znakowych.
sprzęt i oprogramowanie, które działa jako program użytkownika lub współdziała z popularnymi programami użytkownika, aby zapewnić osobom z niepełnosprawnościami niezbędne funkcjonalności, wykraczające poza możliwości oferowane przez popularne programy użytkownika;
Uwaga
Funkcjonalności zapewniane przez technologie wspomagające obejmują alternatywny sposób prezentacji treści (np. mowa syntetyczna lub powiększenie obrazu), alternatywne sposoby wprowadzania danych (np. za pomocą głosu), dodatkowe mechanizmy nawigacji i orientacji oraz przekształcania treści (np. w celu uczynienia tabel bardziej dostępnymi).
Uwaga
Technologie wspomagające często przekazują informacje i dane do standardowych aplikacji za pośrednictwem specjalnych API.
Uwaga
Rozróżnienie pomiędzy popularnymi programami użytkownika a technologiami wspomagającymi nie jest oczywiste. Wiele popularnych programów użytkownika posiada różne rozwiązania wspomagające osoby z niepełnosprawnościami. Główna różnica pomiędzy nimi polega na tym, że popularne programy użytkownika są ukierunkowane na szerokie i zróżnicowane grupy odbiorców, zarówno z niepełnosprawnościami, jak i bez niepełnosprawności. Natomiast technologie wspomagające skierowane są do wąskiej grupy odbiorców z określonymi rodzajami niepełnosprawności. Wsparcie świadczone za pomocą technologii wspomagających jest zatem bardziej wyspecjalizowane i nakierowane na odbiorcę z konkretnymi potrzebami. Popularne programy użytkownika mogą dostarczać technologiom wspomagającym niezbędne funkcjonalności, takie jak pobieranie treści internetowych z obiektów programowych lub odwzorowanie kodu do postaci przyjaźniejszej dla tych technologii.
- lupy ekranowe i inne programy wspomagające czytanie wzrokowe, używane przez osoby z niepełnosprawnościami wzroku, percepcyjnymi i innymi związanymi z korzystaniem z druku, pozwalające na zmianę czcionki, jej rozmiaru, odstępów, koloru oraz na synchronizację głosu z tekstem itp., w celu poprawienia czytelności wyświetlanego tekstu i obrazów;
- czytniki ekranu, używane przez osoby niewidome do odczytu treści tekstowych za pomocą mowy syntetycznej lub brajla;
- programy przetwarzające tekst na mowę syntetyczną, używane przez niektóre osoby z niepełnosprawnościami poznawczymi, językowymi i trudnościami w nauce w celu przekształcenia tekstu w mowę syntetyczną;
- programy rozpoznające mowę, używane przez niektóre osoby z niepełnosprawnościami fizycznymi;
- specjalne klawiatury, używane przez osoby z niektórymi niepełnosprawnościami fizycznymi, które symulują standardową klawiaturę (w tym klawiatury specjalne wyposażone we wskaźniki nagłowne, przełączniki, urządzenia „wciągnij/dmuchnij” (sip-and-puff) i inne specjalne urządzenia do wprowadzania danych);
- specjalne wskaźniki, używane przez osoby z niektórymi rodzajami niepełnosprawności fizycznych w celu symulowania kursora myszy i naciskania przycisków.
Zadanie wymagające od użytkownika zapamiętywania, manipulowania lub przepisywania informacji. Przykładami są między innymi:
- zapamiętywanie, np. nazwy użytkownika, hasła, zestawu znaków, obrazów lub wzorów. wspólne identyfikatory: imię i nazwisko, adres e-mail i numer telefonu nie są uważane za testy funkcji poznawczych, ponieważ są one osobiste dla użytkownika i spójne na różnych stronach internetowych;
- transkrypcja, na przykład wpisywanie znaków;
- stosowanie poprawnej pisowni;
- wykonywanie obliczeń;
- rozwiązywanie zagadek.
informacje i wrażenia sensoryczne, które mają być przekazywane użytkownikowi za pośrednictwem programu użytkownika, w tym kod lub znaczniki definiujące strukturę, prezentację i interakcje
każda treść, która nie jest sekwencją znaków, które mogą być programowo określone lub nie wyraża niczego w jakimkolwiek języku naturalnym
Uwaga
Obejmuje to sztukę tekstową (ASCII art, będącą układanką złożoną ze znaków), emotikony, slang na forach (korzystający z zastępowania znaków) i obrazy przedstawiające tekst.