WCAG 2.2 · Level AA · Verständlich · NeuBarrierefreiheit als Cloud-Service
3.3.8 Barrierefreie Authentifizierung (Minimum)
Kein Merken von Passwörtern oder Lösen von Rätseln beim Login.
Auf einen Blick
Was bedeutet dieses Kriterium?
Kurz gesagt
Kein Merken von Passwörtern oder Lösen von Rätseln beim Login.
Aufwand
Mittel umzusetzen, mittel erledigt
Betrifft Rolle
Entwicklung
Konformitätsstufe
Level AA · Neu in WCAG 2.2
EN 301 549
Abschnitt 9.3.3.8 · BITV 2.0 · BFSG
Verständlich erklärt
Was heißt 3.3.8 für die Praxis?
Kein Merken von Passwörtern oder Lösen von Rätseln beim Login.
Unterstützen Sie Passwort-Manager (kein Blockieren von Paste), bieten Sie WebAuthn/Passkeys oder Magic Links an. CAPTCHAs brauchen eine Alternative.
Technisch formuliert: Kognitive Funktionstests (z.B. Passwort merken, Rätsel lösen) sind für keinen Schritt der Authentifizierung erforderlich, es sei denn, ein alternativer Mechanismus ist verfügbar.
Wer ist betroffen?
Ein Alltagsbeispiel
Websites müssen auch für Menschen funktionieren, die nicht alle Details auf Anhieb verstehen oder sich beim Ausfüllen vertippen. 3.3.8 sorgt für eine vorhersehbare, verständliche und fehlerverzeihende Bedienung. Besonders betroffen sind: Menschen mit kognitiven Einschränkungen, Ältere Menschen.
Die Lösung
So setzen Sie es richtig um
Unterstützen Sie Passwort-Manager (kein Blockieren von Paste), bieten Sie WebAuthn/Passkeys oder Magic Links an. CAPTCHAs brauchen eine Alternative.
Kognitive Funktionstests (z.B. Passwort merken, Rätsel lösen) sind für keinen Schritt der Authentifizierung erforderlich, es sei denn, ein alternativer Mechanismus ist verfügbar.
Umsetzung
Schritt für Schritt
Konkrete Anleitung zur praktischen Umsetzung dieses Kriteriums.
- 1
Paste im Passwortfeld erlauben
Entfernen Sie onpaste-Blockierungen — Passwort-Manager müssen funktionieren.
- 2
Alternative Login-Methoden anbieten
Magic Link, WebAuthn/Passkey, SSO — mindestens eine Alternative ohne kognitiven Test.
Praxisbeispiele
So nicht — sondern so
So nicht
Login nur mit auswendig gelerntem Passwort + CAPTCHA.
Sondern so
Login mit Passwort-Manager, Passkey oder Magic Link.
Warum?
Neu in WCAG 2.2
Typische Fehler
Das wird häufig falsch gemacht
Diese Fehler sehen wir in der Praxis besonders oft — und wie Sie sie vermeiden.
Nur die Entwickler-Perspektive annehmen
Was für einen Profi verständlich ist, ist für Laien oft kryptisch. Texte sollten einfach und klar formuliert sein, ohne unnötigen Jargon.
Fehlermeldungen ohne Lösungsvorschlag
'Ungültige Eingabe' ist nicht hilfreich. 'Bitte im Format TT.MM.JJJJ eingeben' ist hilfreich.
Selbst prüfen
So testen Sie dieses Kriterium
Mit diesen Methoden können Sie selbst prüfen, ob Ihre Webseite das Kriterium erfüllt.
Verständlichkeitstest
Lassen Sie Menschen außerhalb Ihres Teams die Seite nutzen. Verstehen sie, was zu tun ist? Wo stocken sie? Wo sind sie verwirrt?
Lesbarkeit messen
Mit Tools wie dem Flesch-Lesbarkeitsindex oder der Wiener Sachtextformel können Sie die Verständlichkeit Ihrer Texte objektiv bewerten.
Fehlerflüsse durchspielen
Füllen Sie Formulare absichtlich falsch aus. Sind die Fehlermeldungen klar? Wissen Sie, was Sie korrigieren müssen?
Häufige Fragen
Fragen und Antworten
Ist Level AA für mich relevant?▾
Wie kann ich prüfen, ob meine Seite dieses Kriterium erfüllt?▾
Welche anderen Kriterien hängen damit zusammen?▾
Verwandte Kriterien
Weiterführende Erfolgskriterien
Diese Kriterien stehen in engem Zusammenhang mit 3.3.8 und sollten gemeinsam betrachtet werden.