解説書 達成基準 3.3.9:アクセシブルな認証 (高度) (レベル AAA)
要約
- 目標
- より少ない知的努力でログインできるようにする。
- 何をすればよいか
- ログインの際に、人々に物体を認識させたり、利用者が提供した画像及びメディアを認識させないようにする。
- なぜそれが重要か
- 認知障害のある人々の中には、物体及び以前に自身が提供した非テキストの情報を特定するなどの、パズルができない人もいる。
意図
この達成基準の意図は、ログインし、コンテンツにアクセスし、タスクを実行するための、アクセシブルで、使いやすく、安全な方法を確保することである。この基準は、アクセシブルな認証 (最低限) と同様であるが、「物体の認識」及び「個人特有のコンテンツ」の例外はない。
認証プロセスに必要なあらゆるステップにおいては:
- 画像、映像、又は音声クリップの選択肢を表示して、利用者にどの画像等を提供したかを選ばせることを必須にしてはならない。
- 画像の選択肢を表示して、利用者にどの画像が特定の物体 (車など) を含んでいるかを選ばせることを必須にしてはならない。
利点
この達成基準の利点は、アクセシブルな認証 (最低限) と同様である。
記憶に関する認知的問題のある人、読解に関する認知的問題のある人(例えばディスレクシア)、数字に関する認知的問題のある人(例えばディスカリキュリア)、又は知覚処理制限に関する認知的問題のある人でも、認知能力のレベルに関係なく認証できる。
事例
この達成基準の例は、アクセシブルな認証 (最低限) の例と同様である。
- ウェブサイトは、適切にマークアップされたユーザ名 (又は電子メール) 及びパスワードのフィールドをログイン認証として使用する (達成基準 1.3.5 入力目的の特定及び達成基準 4.1.2: 名前 (name)・役割 (role)・値 (value) を満たしている)。利用者のブラウザ又は統合されたサードパーティのパスワードマネージャー拡張機能は、入力の目的を特定し、ユーザ名及びパスワードを自動的に入力できる。
- ウェブサイトは貼り付け機能をブロックしていない。利用者は、サードパーティのパスワードマネージャーを使用して資格情報を保存し、コピーしてログインフォームに直接貼り付けることができる。
- ウェブサイトは WebAuthn を使用するため、利用者はユーザ名/パスワードの代わりにデバイスで認証できる。利用者のデバイスは、利用可能な任意のモダリティを使用できる。ノートパソコン及び携帯電話での一般的な方法は、顔スキャン、指紋、PIN (個人識別番号) である。このウェブサイトは、特定の使用を強制するものではない。利用者が自分に合った方法を設定することを想定している。
- ウェブサイトは、OAuth メソッドを使用してサードパーティプロバイダーにログインする機能を提供する。
- 2 要素認証を必要とするウェブサイトは、利用者がボタンを押すだけで時間ベースのトークンを入力する USB ベースの方法など、2 要素認証について複数のオプションを許容する。
- 2 要素認証を必要とするウェブサイトは、利用者のデバイス上のアプリでスキャンして本人確認できる QR コードを表示する。
- 2 要素認証を必要とするウェブサイトは、利用者のデバイスに通知を送信する。利用者は、デバイスの認証メカニズム (ユーザ定義の PIN、指紋、顔認識など) を使用して本人であることを確認しなければならない。
関連リソース
リソースは、情報提供のみを目的としており、推奨を意味するものではない。
- Cognitive Accessibility Gap Analysis Topic 1: Authentication and Safety
- Cognitive Accessibility Issue Papers 4. Web Security and Privacy Technologies and Web Security and Privacy Technologies
- Making Content Usable for People with Cogntive and Learning Disabilities 4.7.1 Provide a Login that Does Not Rely on Memory or Other Cognitive Skills
- Security and Privacy Technologies issue paper from the Cognitive Task Force.
- WebAuthN specification.
- Web Authentication API on MDN.
- WebAuthN Demo site.
- OAuth on Wikipedia.
- "Let them paste passwords", from the UK's National Cyber Security Centre
テクニック
この節にある番号付きの各項目は、WCAG ワーキンググループがこの達成基準を満たすのに十分であると判断するテクニック、又は複数のテクニックの組み合わせを表している。しかしながら、必ずしもこれらのテクニックを用いる必要はない。その他のテクニックについての詳細は、WCAG 達成基準のテクニックを理解するの「その他のテクニック」を参照のこと。
十分なテクニック
- G218: Email link authentication
- H100: Providing properly marked up email and password inputs
- Providing WebAuthn as an alternative to username/password (Potential future technique)
- Providing a 3rd party login using OAuth (Potential future technique)
- Using two techniques to provide 2 factor authentication (Potential future technique)
失敗
以下に挙げるものは、WCAG ワーキンググループが達成基準の失敗とみなした、よくある間違いである。
重要な用語
障害のある利用者の要件を満たすために、主流のユーザエージェントが提供する機能を超えた機能を提供するような、ユーザエージェントとして動作する、又は主流のユーザエージェントと共に動作するハードウェア及び/又はソフトウェア。
注記
支援技術が提供する機能としては、代替の提示 (例: 合成音声や拡大表示したコンテンツ)、代替入力手法 (例: 音声認識)、付加的なナビゲーション又は位置確認のメカニズム、及びコンテンツ変換 (例: テーブルをよりアクセシブルにするもの) などを挙げることができる。
注記
支援技術は、API を利用、監視することで、主流のユーザエージェントとデータやメッセージのやりとりをすることが多い。
注記
主流のユーザエージェントと支援技術との区別は、絶対的なものではない。多くの主流のユーザエージェントは、障害のある個人を支援する機能を提供している。基本的な差異は、主流のユーザエージェントが障害のある人もない人も含めて、広く多様な利用者を対象にしているのに対し、支援技術は、特定の障害のある利用者という、より狭く限られた人たちを対象にしているということである。支援技術により提供される支援は、対象とする利用者に特化した、よりニーズに適したものである。主流のユーザエージェントは、プログラムオブジェクトからのウェブコンテンツの抽出、マークアップの識別可能な構造への解釈といった、重要な機能を支援技術に対して提供する場合がある。
利用者に情報の記憶、操作又は転記を要求するタスク。例には、次のものが含まれるが、これらに限定されない:
- 記憶させること、たとえばユーザー名、パスワード、文字の一式、画像、パターンを覚えさせるなど。一般的な識別子である名前、電子メール及び電話番号は、利用者にとって個人特有のものであって、ウェブサイト間で一貫しているため、認知機能テストとはみなされない。
- 転記させること、たとえば文字をタイピングさせるなど。
- 正しい綴りを使わせること。
- 計算を実行させること。
- パズルを解かせること。
与えられた規格、ガイドライン、又は仕様のすべての要件を満たすこと。
結果を得るためのプロセス又は手法。
注記
メカニズムは、宣言する適合レベルのすべての達成基準を満たしている必要がある。
ある活動を完了させるために必要な利用者の一連の動作。
ユーザエージェントがどのようにレンダリング、再生、又は実行するかを符号化するメカニズム。
注記
このガイドラインで用いられている「ウェブ技術」及び (単独で用いられている) 「技術」という用語は、どちらもウェブコンテンツ技術を指す。
注記
ウェブコンテンツ技術には、マークアップ言語、データ形式、及びプログラム言語などがあり、これらをコンテンツ制作者が単独で、又は組み合わせて用いることによって、静的なウェブページや同期したメディアによる提示、さらには動的なウェブアプリケーションに至るまでの様々なエンドユーザ体験を作ることができる。
ウェブコンテンツを取得して利用者に提示するあらゆるソフトウェア。