#Σημείο ελέγχου 3.3.8 Προσβάσιμος έλεγχος ταυτότητας

Ο έλεγχος ταυτότητας, για παράδειγμα όταν συνδέεστε σε έναν λογαριασμό χρησιμοποιώντας όνομα και κωδικό πρόσβασης, θα πρέπει να είναι δυνατός χωρίς τη διενέργεια δοκιμής γνωστικών λειτουργιών. Για παράδειγμα, απομνημόνευση ενός κωδικού πρόσβασης ή επίλυση ενός παζλ. Εκτός:

• Μια άλλη μέθοδος ελέγχου ταυτότητας προσφέρεται που δεν βασίζεται σε τεστ γνωστικών λειτουργιών. Για παράδειγμα, έναν σύνδεσμο που αποστέλλεται μέσω email (εναλλακτική ).
• Υπάρχει ένας μηχανισμός για την υποστήριξη των χρηστών στη διεξαγωγή του τεστ γνωστικών λειτουργιών. Για παράδειγμα, αντιγραφή και επικόλληση κωδικών πρόσβασης ή κωδικών επαλήθευσης μίας χρήσης που αποστέλλονται από το σύστημα. Είναι μια λειτουργία αυτόματης συμπλήρωσης ή η χρήση βοηθητικού προγράμματος διαχείρισης κωδικών πρόσβασης ( Μηχανισμός ).
• Το τεστ γνωστικής λειτουργίας αφορά την αναγνώριση αντικειμένων ( αναγνώριση αντικειμένων ).
• Το τεστ γνωστικής λειτουργίας περιλαμβάνει την αναγνώριση μη κειμενικού περιεχομένου. Για παράδειγμα, εικόνες, βίντεο, ήχος που οι ίδιοι οι χρήστες έχουν αποθηκεύσει για αυτόν τον σκοπό ( προσωπικό περιεχόμενο ).

Είναι αντικείμενο από το σημείο ελέγχου 3.3.8 «Προσβάσιμος έλεγχος ταυτότητας» [Επίπεδο ΑΑ].

Οι χρήστες θα πρέπει να μπορούν να συνδέονται σε έναν ιστότοπο που προστατεύεται από πρόσβαση χρησιμοποιώντας μια προσβάσιμη, απλή και ασφαλή μέθοδο. Τα τεστ γνωστικών λειτουργιών (όπως η απομνημόνευση ενός κωδικού πρόσβασης) μπορεί να είναι δύσκολα ή αδύνατα για ορισμένους χρήστες.

Για παράδειγμα, εάν έχουν προβλήματα με τη μνήμη, την ανάγνωση, την αριθμητική ή την αντιληπτική επεξεργασία. Κατά τη χρήση τέτοιων δοκιμών, είτε πρέπει να υπάρχει μια εναλλακτική μέθοδος ελέγχου ταυτότητας είτε να υπάρχει μηχανισμός που να υποστηρίζει τους χρήστες.

1. Εφαρμογή του σημείου ελέγχου 3.3.8 «Προσβάσιμος έλεγχος ταυτότητας»

Το σημείο ελέγχου ισχύει εάν ο ιστότοπος προστατεύεται από πρόσβαση και απαιτεί διαδικασία εγγραφής.

2. Έλεγχος

2.1 Έλεγχος διαδικασιών εγγραφής

• Ελέγξτε εάν είναι δυνατό να αντιγράψετε και να επικολλήσετε έναν κωδικό πρόσβασης στο αντίστοιχο πεδίο κειμένου. Εναλλακτικά συνδεθείτε χρησιμοποιώντας τη λειτουργία αυτόματης συμπλήρωσης (του προγράμματος περιήγησης). Υπάρχουν άλλες επιλογές που πληρούν αυτό το σημείο ελέγχου:
  • Εγγραφή μέσω τρίτου με τη μέθοδο OAuth (Open Authorization).
  • Όταν συνδέεστε στη δική σας συσκευή: βιομετρικός έλεγχος ταυτότητας. Μέσω σάρωσης ίριδας, αναγνώρισης προσώπου ή δακτυλικού αποτυπώματος.
  • Σάρωση κωδικού QR που εμφανίζεται σε άλλη συσκευή.

2.2 Έλεγχος ταυτότητας 2 παραγόντων

Ελέγξτε εάν η μεταγραφή (π.χ. καταγραφή ενός κωδικού) είναι απολύτως απαραίτητη. Εάν ένας απεσταλμένος κωδικός πρόσβασης ή ένας κωδικός επαλήθευσης (κωδικός πρόσβασης μίας χρήσης) μπορεί να αντιγραφεί και να επικολληθεί στο αντίστοιχο πεδίο. Ο έλεγχος επαλήθευσης θεωρείται ότι ικανοποιείται.

2.3 Έλεγχος ερωτημάτων ασφαλείας (CAPTCHA)

Ελέγξτε εάν μια δοκιμή CAPTCHA ως μέρος του ελέγχου ταυτότητας είναι μια δοκιμή γνωστικής λειτουργίας. Μόνο η αναγνώριση αντικειμένων θεωρείται εξαίρεση με την έννοια του σημείου ελέγχου (π.χ. επιλέξτε όλες τις εικόνες με φανάρι). Η ανίχνευση αντικειμένων δεν περιορίζεται μόνο στην αναγνώριση εικόνων, αλλά περιλαμβάνει επίσης περιεχόμενο βίντεο ή ήχου.

3. Σημειώσεις

3.1 Περιορισμός του ελέγχου ταυτότητας στη σύνδεση σε υπάρχοντες λογαριασμούς

Το Understanding-Document συσχετίζει τον έλεγχο ταυτότητας με καταστάσεις σύνδεσης. Δηλαδή υπάρχει ήδη ένας λογαριασμός χρήστη. Οι διαδικασίες εγγραφής δεν καταγράφονται επειδή δεν υπάρχουν προσωπικά δεδομένα που θα μπορούσαν να συγκριθούν κατά τον έλεγχο ταυτότητας.

3.2 Ορισμός της «δοκιμής γνωστικής λειτουργίας»

Ένα τεστ γνωστικής λειτουργίας είναι μια εργασία στην οποία οι χρήστες πρέπει να θυμούνται, να επεξεργάζονται ή να αντιγράφουν πληροφορίες. Παραδείγματα τεστ γνωστικής λειτουργίας περιλαμβάνουν:

• Απομνημόνευση (απομνημόνευση ονόματος χρήστη, κωδικού πρόσβασης, σειράς χαρακτήρων, εικόνων ή μοτίβων).
• Μεταγραφή (π.χ. αντιγραφή και πληκτρολόγηση χαρακτήρων, όπως κωδικοί πρόσβασης μίας χρήσης που σας αποστέλλονται).
• Χρήση σωστής ορθογραφίας.
• Επίλυση αριθμητικών προβλημάτων.
• Επίλυση παζλ (π.χ. ποιος από τους παρακάτω όρους δεν είναι ζώο;).

Συστήματα δύο παραγόντων που δε βασίζονται σε κωδικούς, συμπεριλαμβανομένου του ελέγχου ταυτότητας υλικού, όπως τα διακριτικά ασφαλείας USB. Όμως, δε χρησιμοποιούν δοκιμές γνωστικών λειτουργιών.

3.3 Έλεγχος ταυτότητας δύο παραγόντων

Υπάρχουν περιπτώσεις στις οποίες ένας κωδικός επαλήθευσης πρέπει να ληφθεί ή να δημιουργηθεί σε μια δεύτερη συσκευή. Για παράδειγμα, ο έλεγχος ταυτότητας σε ένα πρόγραμμα περιήγησης ιστού σε φορητό υπολογιστή απαιτεί έναν κωδικό επαλήθευσης που αποστέλλεται ως SMS σε ένα κινητό τηλέφωνο. Ωστόσο, στις περισσότερες περιπτώσεις είναι δυνατό να σταλεί ο κωδικός απευθείας στην κύρια συσκευή, όπου στη συνέχεια μπορεί να αντιγραφεί και να επικολληθεί. Για παράδειγμα, οι χρήστες μπορούν να αντιγράψουν τον κώδικα στη δευτερεύουσα συσκευή και να τον στείλουν μέσω email στην κύρια συσκευή.

Η αξιολόγηση του εάν ο κωδικός μπορεί να μεταφερθεί απρόσκοπτα από τη δευτερεύουσα συσκευή στην κύρια συσκευή είναι εκτός του πεδίου εφαρμογής αυτής της απαίτησης. Επομένως, η αξιολόγηση αυτού του σημείου απαιτεί μόνο τον έλεγχο τον ακόλουθο έλεγχο. Εάν το περιεχόμενο ιστού επιτρέπει την επικόλληση των περιεχομένων του προχείρου στο αντίστοιχο πεδίο ελέγχου ταυτότητας.

3.4 CAPTCHA

Τα CAPTCHA καταγράφονται από το σημείο ελέγχου μόνο εάν αποτελούν μέρος μιας διαδικασίας ελέγχου ταυτότητας. Δηλαδή όχι γενικά (π.χ. εάν ένα CAPTCHA πρέπει να συμπληρωθεί πριν από την αποστολή ενός σχολίου). Ωστόσο, αυτό θα ήταν το αντικείμενο του σημείου ελέγχου 1.1.1(d) Εναλλακτικές λύσεις για CAPTCHA.

4. Αξιολόγηση

Το σημείο ελέγχου 3.3.8 «Προσβάσιμος έλεγχος ταυτότητας» δεν ικανοποιείται

Μια διαδικασία ελέγχου ταυτότητας μπορεί να πραγματοποιηθεί μόνο με τη βοήθεια ενός τεστ γνωστικών λειτουργιών. Εξαιρείται η αναγνώριση αντικειμένων και η αναγνώριση αυτοαποθηκευμένου περιεχομένου. Δεν υπάρχει ούτε εναλλακτικός ούτε υποστηρικτικός μηχανισμός (π.χ. αντιγραφή και επικόλληση στην ίδια συσκευή).

Διαφοροποίηση από άλλα σημεία ελέγχου

Οι ιστότοποι μπορούν να χρησιμοποιούν όνομα χρήστη (ή email) και εισαγωγή κωδικού πρόσβασης ως μέθοδο ελέγχου ταυτότητας. Εάν ο παράγοντας χρήστη (πρόγραμμα περιήγησης τρίτου μέρους και διαχειριστής κωδικών πρόσβασης) μπορεί να συμπληρώσει αυτόματα τα πεδία. Εάν η φόρμα εγγραφής πληροί το σημείο ελέγχου 1.3.5 «Προσδιορισμός του σκοπού εισόδου».

Αλλά και τα στοιχεία ελέγχου της φόρμας έχουν κατάλληλο προσβάσιμο όνομα σύμφωνα με το 4.1.2 Όνομα, ρόλος, τιμή, ο παράγοντας χρήστη μπορεί να αναγνωρίσει αξιόπιστα το πεδία και συμπληρώστε τα αυτόματα. Ωστόσο, εάν ένα σενάριο εμποδίζει τον παράγοντα χρήστη να συμπληρώσει τα πεδία, η σελίδα θα αποτύχει σε αυτό το κριτήριο επειδή ο μηχανισμός δεν λειτουργεί.

Ταξινόμηση του σημείου ελέγχου σύμφωνα με το WCAG 2.2

Κατευθυντήρια γραμμή

• 3.3 Input Assistance

Κριτήριο επιτυχίας

• 3.3.8 Accessible Authentication (Minimum) (AA)

Επαρκείς Τεχνικές

• G218: Email link authentication
• H100: Providing properly marked up email and password inputs

Αποτυχίες

• F109: Failure of Success Criterion 3.3.8 and 3.3.9 due to preventing password or code re-entry in the same format