WCAG & BFSG · WCAG-Referenz: Verständlich
WCAG 3.3.8: Zugängliche Authentifizierung (Minimum)
Kein Schritt einer Anmeldung darf einen kognitiven Funktionstest voraussetzen – Passwörter auswendig abtippen, Rätsel lösen, Zeichen aus verzerrten Bildern übertragen –, es sei denn, es gibt eine Alternative ohne solchen Test oder einen Mechanismus, der dem Nutzer dabei hilft. (Englisch: Accessible Authentication (Minimum).)
| Stufe | Prinzip | Teil der WCAG seit | Rechtlich verbindlich? |
|---|---|---|---|
| AA | Verständlich | 2.2 (2023) | Noch nicht Teil der EN 301 549 (Stand Juli 2026) – Umsetzung dringend empfohlen |
Was verlangt das Kriterium?
„Kognitiver Funktionstest“ meint: sich etwas merken, etwas transkribieren, etwas berechnen, Rätsel lösen. Konform wird der Login durch Mechanismen, die das abnehmen:
-
Passwort-Manager zulassen: kein Kopier-/Einfüge-Verbot, kein Blockieren von Autofill – plus die richtigen
autocomplete-Tokens (username,current-password). - Codes einfügbar machen: Der E-Mail/SMS-Code darf eingefügt statt abgetippt werden (im besten Fall:
autocomplete="one-time-code"). - Alternativen ohne Test: Passkeys/WebAuthn, Magic-Links per E-Mail, Biometrie des Geräts.
- CAPTCHA entschärfen: Objekt-Erkennung („alle Ampeln“) gilt in der Minimum-Stufe als Ausnahme (Erkennen von Objekten ist erlaubt) – Rätsel- und Rechen-CAPTCHAs ohne Alternative fallen durch. Besser: unsichtbare Verfahren oder ganz darauf verzichten.
Wen betrifft es besonders?
Menschen mit Gedächtnis-Einschränkungen, Demenz, Dyskalkulie oder Legasthenie – für sie ist das Abtippen eines 8-Zeichen-Codes eine echte Hürde. Ebenso blinde Nutzer (Bild-CAPTCHAs!) und Menschen mit motorischen Einschränkungen, für die jede Transkription Schwerstarbeit ist.
Richtig & falsch im Code
<!-- Falsch: Einfügen blockiert, Autofill verboten -->
<input type="password" onpaste="return false" autocomplete="off" />
<!-- Richtig: Passwort-Manager und Einfügen willkommen -->
<label for="pw">Passwort</label>
<input id="pw" type="password" autocomplete="current-password" />
<!-- Richtig: Einmal-Code, vom System vorgeschlagen -->
<label for="otp">Bestätigungscode</label>
<input id="otp" inputmode="numeric" autocomplete="one-time-code" />
So testest du es
- Einfüge-Test: Passwort und Codes per Zwischenablage einfügen – geht es?
- Passwort-Manager-Test: Erkennt und füllt der Manager die Felder (korrekte
autocomplete-Tokens)? - CAPTCHA-Inventur: Gibt es Transkriptions- oder Rätsel-CAPTCHAs? Existiert eine Alternative ohne kognitiven Test?
- Kompletten Login mit Screenreader durchspielen – inklusive Fehlerfall.
Verwandte Themen
- 1.3.5 Eingabezweck bestimmen – die autocomplete-Grundlage
- 3.3.7 Redundante Eingabe – Eingaben sparen, auch beim Login
- Die neuen WCAG-2.2-Kriterien