WCAG & BFSG · WCAG-Referenz: Verständlich

WCAG 3.3.8: Zugängliche Authentifizierung (Minimum)

Kein Schritt einer Anmeldung darf einen kognitiven Funktionstest voraussetzen – Passwörter auswendig abtippen, Rätsel lösen, Zeichen aus verzerrten Bildern übertragen –, es sei denn, es gibt eine Alternative ohne solchen Test oder einen Mechanismus, der dem Nutzer dabei hilft. (Englisch: Accessible Authentication (Minimum).)

Stufe Prinzip Teil der WCAG seit Rechtlich verbindlich?
AA Verständlich 2.2 (2023) Noch nicht Teil der EN 301 549 (Stand Juli 2026) – Umsetzung dringend empfohlen

Was verlangt das Kriterium?

„Kognitiver Funktionstest“ meint: sich etwas merken, etwas transkribieren, etwas berechnen, Rätsel lösen. Konform wird der Login durch Mechanismen, die das abnehmen:

  • Passwort-Manager zulassen: kein Kopier-/Einfüge-Verbot, kein Blockieren von Autofill – plus die richtigen autocomplete-Tokens (username, current-password).
  • Codes einfügbar machen: Der E-Mail/SMS-Code darf eingefügt statt abgetippt werden (im besten Fall: autocomplete="one-time-code").
  • Alternativen ohne Test: Passkeys/WebAuthn, Magic-Links per E-Mail, Biometrie des Geräts.
  • CAPTCHA entschärfen: Objekt-Erkennung („alle Ampeln“) gilt in der Minimum-Stufe als Ausnahme (Erkennen von Objekten ist erlaubt) – Rätsel- und Rechen-CAPTCHAs ohne Alternative fallen durch. Besser: unsichtbare Verfahren oder ganz darauf verzichten.

Wen betrifft es besonders?

Menschen mit Gedächtnis-Einschränkungen, Demenz, Dyskalkulie oder Legasthenie – für sie ist das Abtippen eines 8-Zeichen-Codes eine echte Hürde. Ebenso blinde Nutzer (Bild-CAPTCHAs!) und Menschen mit motorischen Einschränkungen, für die jede Transkription Schwerstarbeit ist.

Richtig & falsch im Code

<!-- Falsch: Einfügen blockiert, Autofill verboten -->
<input type="password" onpaste="return false" autocomplete="off" />

<!-- Richtig: Passwort-Manager und Einfügen willkommen -->
<label for="pw">Passwort</label>
<input id="pw" type="password" autocomplete="current-password" />

<!-- Richtig: Einmal-Code, vom System vorgeschlagen -->
<label for="otp">Bestätigungscode</label>
<input id="otp" inputmode="numeric" autocomplete="one-time-code" />

So testest du es

  1. Einfüge-Test: Passwort und Codes per Zwischenablage einfügen – geht es?
  2. Passwort-Manager-Test: Erkennt und füllt der Manager die Felder (korrekte autocomplete-Tokens)?
  3. CAPTCHA-Inventur: Gibt es Transkriptions- oder Rätsel-CAPTCHAs? Existiert eine Alternative ohne kognitiven Test?
  4. Kompletten Login mit Screenreader durchspielen – inklusive Fehlerfall.

Verwandte Themen

Gratis E-Book PDF Das Praxishandbuch

Kostenloses E-Book

Das Praxishandbuch für sauberes, zugängliches Web

Alles rund um semantisches HTML, Barrierefreiheit, WCAG & BFSG, GEO und SEO — praxisnah und am echten Code. In mehreren Feedbackschleifen von Leserinnen und Lesern verbessert.

  • 3.000+ Downloads
  • 7. Auflage
  • 37 Seiten
  • PDF

Kein Spam. Abmeldung jederzeit mit einem Klick möglich.