Veilig inloggen voor iedereen dankzij WCAG 2.2

Eind 2022 wil het W3C de nieuwe versie van de Richtlijnen voor Toegankelijkheid van Webcontent uitbrengen. WCAG 2.2 wordt de nieuwe standaard voor het testen op toegankelijkheid. WCAG wordt ook gebruikt als de basis voor websites van overheden en publieke organisaties om aan te voldoen.WCAG 2.2 brengt ons wellicht negen nieuwe succescriteria, waaronder eentje over toegankelijk inloggen. Daar zoomen we in dit eerste artikel in deze reeks op in.

Meer in deze reeks:

1. WCAG 2.2 helpt je om beter vindbare hulpfuncties aan te bieden
2. Maak je controls zichtbaar voor bezoekers
3. Laat gebruikers dezelfde informatie maar één keer invullen
4. Help bezoekers naar de juiste pagina springen (met WCAG 2.2)
5. You can touch this! Zijn de target sizes in jouw UI wel groot genoeg?
6. Geef je bezoekers focus
7. Je bezoekers verdienen een meeslepende ervaring!

Noot vooraf: dit nieuwe criterium heeft niets te maken met beveiligingstechnieken rondom het inlogproces.

Wie kan nog zonder een wachtwoordmanager?

Steeds meer zaken worden digitaal geregeld en daar heb je in veel gevallen een gebruikersnaam en wachtwoord voor nodig. En ik denk dat jullie dit vast herkennen, maar ik heb zoveel accounts dat een wachtwoordmanager eigenlijk onmisbaar is geworden. Het is geen doen om alles te onthouden. En bovendien gebruik ik graag ook lange, ingewikkelde wachtwoorden. Die zelf steeds intypen is ook een hele klus, dus dat mijn wachtwoordmanager het voor mij kan invullen is erg fijn!

Je komt er niet in!

Even een situatieschets: soms stuit je op een inlogformulier, en je wachtwoordmanager kan de accountgegevens niet automatisch invullen. Vervelend. Maar goed: ik vul mijn e-mailadres of gebruikersnaam in, open mijn wachtwoordmanager, zoek het account op en kopieer het wachtwoord. Ik ga terug naar het formulier en wil het wachtwoord plakken. Helaas, dat kan of mag dan blijkbaar niet van de site. Het frustratieniveau is inmiddels al aardig gestegen. Om het erger te maken: een andere mogelijkheid om in te loggen is er niet.

Leuker kunnen we het niet maken, wel makkelijker!

Bovenstaand scenario is de reden dat WCAG een succescriterium gaat krijgen dat inloggen gemakkelijker moet maken voor gebruikers. Het gaat om 3.3.7 Accessible Authentication, dat onder niveau AA zal vallen.

Dat betekent concreet: als men wil voldoen aan WCAG niveau AA (wat de wet voorschrijft voor overheden en publieke organisaties) men met dit nieuwe criterium te maken zal krijgen.

Wat zullen de vereisten zijn?

• Websites mogen wachtwoordmanagers niet blokkeren bij het automatisch invullen van wachtwoorden of het suggereren van wachtwoorden.
• Bied op zijn minst een andere methode voor authenticatie aan waar geen wachtwoord of cognitieve test voor nodig is. Zeker als er een captcha wordt gebruikt in het authenticatieproces.
• Een gebruiker moet zijn accountgegevens altijd kunnen plakken in het daarvoor bestemde veld als er geen andere toegankelijke authenticatiemethode aanwezig is.

Noot: Google’s Recaptcha valt onder een uitzondering in dit criterium, omdat Recaptcha het herkennen van alledaagse objecten gebruikt als verkeerslichten, taxi’s en fietsen.

Hoe te voldoen

• Door het gebruik van wachtwoordmanagers niet te blokkeren. Gebruik het autocomplete-attribuut (met de waarde current-password) om wachtwoordmanagers toe te staan het huidige wachtwoord van de gebruiker in te vullen.
• Gebruik geen JavaScript event-handlers om het plakken van een wachtwoord te blokkeren.
• Bied ook andere methoden aan als WebAuthn (inloggen met de PIN van je toestel), OAuth (het inloggen met je Google- of Facebook-account of je Apple ID) of tweefactorauthenticatie (2FA: het combineren van iets wat een gebruiker weet, zoals een wachtwoord, en wat een gebruiker heeft, zoals een e-mailadres, telefoonnummer of Yubikey).

Hiermee ondersteun je wachtwoordmanagers en zorg je voor alternatieven. Dit helpt mensen met cognitieve beperkingen en ouderen. Maar het is ook fijn voor wie zijn Yubikey thuis heeft laten liggen en graag 2FA codes op zijn smartphone wil ontvangen.

Is het wel veilig (genoeg)?

Sommigen zijn misschien bang dat het automatisch invullen met wachtwoordmanagers onveilig is. Maar wachtwoordmanagers stimuleren juist het gebruik van unieke en complexe wachtwoorden, en vele managers waarschuwen zelfs wanneer het nodig is om je wachtwoord te veranderen (bijvoorbeeld na een datalek). Dat zorgt dus net voor meer veiligheid, zeker in combinatie met tweefactorauthneticatie.

Conclusie

Kijk na of jouw applicatie vandaag al een aanmeldproces heeft waarmee dit kan. Zo niet, bekijk dan met je developers hoe je dit kunt verbeteren. Zo zorg je ervoor dat het aanmelden minder frustrerend wordt voor je gebruikers én stimuleer je het gebruik van wachtwoordmanagers. Dat komt dan weer de veiligheid van gebruikers ten goede.