Heute geht es um die Zwei-Faktor-Authentifizierung. Zwei-Faktor-Authentifizierung bedeutet, dass man mindestens zwei unabhängige Faktoren benötigt, um sich anzumelden. Zum Beispiel ein Passwort und einen Code aus einer Authenticator-App.
Wichtig ist dabei: Ein Fingerabdruck oder die Gesichtserkennung gelten nicht als zweiter Faktor. Wenn ich mein Smartphone per Fingerabdruck oder Gesicht entsperre, ersetzt das lediglich die PIN. Es bleibt also nur ein Faktor. Das wird häufig verwechselt.
Die Zwei-Faktor-Authentifizierung ist heute eines der großen Hindernisse im digitalen Alltag. Immer mehr Anwendungen verlangen mehrere Sicherheitsfaktoren. Das betrifft vor allem Verwaltungs-Apps, Krankenkassen-Apps oder digitale Postfächer.
Ein Beispiel ist die elektronische Patientenakte. Dort muss man häufig mehrere Schritte durchlaufen: Passwort eingeben, App-PIN eingeben und zusätzlich die Krankenkassenkarte ans Smartphone halten. Teilweise muss man dabei noch eine weitere PIN eingeben. Das ist sehr sicher, aber komfortabel ist es nicht.
Warum ist Barrierefreiheit bei der Zwei-Faktor-Authentifizierung so wichtig?
Weil wir viele dieser Anwendungen zwingend brauchen. Banking-Apps sind ein gutes Beispiel. Sie müssen hohe Sicherheitsstandards erfüllen. Dafür gibt es gesetzliche Vorgaben, unter anderem aus der EU.
Früher gab es die bekannten TAN-Listen mit langen Nummernfolgen. Später kam die SMS-Authentifizierung. Heute werden meist nur noch Authenticator-Apps oder spezielle Hardware genutzt. Wer diese Verfahren nicht bedienen kann, hat oft keinen Zugang mehr zu wichtigen Diensten.
Das ist besonders problematisch, weil viele Banken inzwischen kaum noch Filialen vor Ort haben. Ohne funktionierende Authentifizierung ist man schnell ausgeschlossen.
Authentifizierung in der WCAG
In den WCAG 2.2, also der aktuellen Version der internationalen Richtlinien zur Barrierefreiheit, gibt es zwei Kriterien zum Thema Authentifizierung.
Das erste ist „3.3.8 Accessible Authentication (Minimum)“. Es ist ein AA-Kriterium und muss daher in vielen Fällen erfüllt werden.
Dort steht vereinfacht gesagt: Menschen sollen sich bei der Anmeldung nichts kompliziert merken müssen. Passwörter wären damit eigentlich problematisch. Allerdings sind Passwörter erlaubt, wenn Passwortmanager genutzt werden können. Dann müssen sich Nutzende die Passwörter nicht selbst merken.
Auch Captchas werden erwähnt. Gemeint sind zum Beispiel grafische Codes oder Bilderrätsel. Diese sogenannten kognitiven Tests sind erlaubt, wenn es eine Audioalternative gibt.
Ich halte das trotzdem für problematisch. Denn es gibt auch Menschen mit Hörsehbehinderung oder taubblinde Personen. Für sie helfen weder Bild- noch Audio-Captchas.
Grundsätzlich halte ich Captchas, bei denen Nutzende aktiv etwas lösen müssen, heute für keine gute Lösung mehr. Viele Menschen scheitern daran – aus technischen oder kognitiven Gründen.
Sinnvoller sind Systeme, die das Verhalten der Nutzenden analysieren. Also Verfahren, die im Hintergrund erkennen sollen, ob ein Mensch oder ein Bot die Website nutzt. Beispiele dafür sind Friendly Captcha oder bestimmte Lösungen von Cloudflare.
Es gibt inzwischen auch Open-Source-Alternativen. Ich kann nicht beurteilen, wie sicher sie sind, aber der Ansatz wirkt deutlich sinnvoller.
Bitte verwendet nach Möglichkeit keine Captchas, bei denen Menschen Zeichen entziffern oder Aufgaben lösen müssen.
Dann gibt es noch das Kriterium „3.3.9 Accessible Authentication (Enhanced)“. Das ist ein AAA-Kriterium und muss normalerweise nicht erfüllt werden.
Im Grunde geht es um dasselbe Thema, allerdings strenger. Klassische Captchas sind dort nicht mehr erlaubt. Zulässig sind nur noch Verfahren, die im Hintergrund arbeiten und das Nutzungsverhalten auswerten.
Das Thema Captchas wird uns wahrscheinlich noch lange beschäftigen. Durch KI-Systeme und Large Language Models versuchen viele Websites inzwischen, automatisierte Zugriffe stärker zu blockieren. Deshalb bauen immer mehr Seiten Captchas ein – selbst ganz normale Websites ohne besondere Sicherheitsanforderungen.
Ich befürchte, dass uns das noch große Probleme machen wird, wenn dafür wieder klassische Captchas wie reCAPTCHA eingesetzt werden.
Der Wunsch nach Schutz vor Bots ist natürlich verständlich. Trotzdem sollten möglichst barrierearme, verhaltensbasierte Systeme verwendet werden. Datenschutzrechtlich ist das nicht immer einfach, aber oft noch die bessere Lösung.
Wie kann man Authentifizierung barrierefrei gestalten?
Die ehrliche Antwort lautet: Es gibt keine perfekte Lösung.
Passwörter, SMS-Codes, Authenticator-Apps oder biometrische Verfahren haben jeweils Vor- und Nachteile – je nach Nutzergruppe.
Nur Passwörter zu verwenden, reicht nicht aus. Viele Menschen nutzen sehr einfache Passwörter oder verwenden dasselbe Passwort mehrfach. Wird ein Passwort bekannt, sind oft gleich mehrere Konten gefährdet.
Deshalb sollte man immer mehrere Möglichkeiten anbieten. Wichtig ist außerdem, Alternativen zu klassischen Passwörtern oder PINs bereitzustellen.
Bei Smartphones sind biometrische Verfahren inzwischen Standard. Fingerabdruck oder Gesichtserkennung ersetzen dort häufig die Eingabe einer PIN.
Ich selbst habe zum Beispiel die PINs vieler Banking-Apps längst vergessen, weil ich sie so selten eingebe. Ohne biometrische Anmeldung könnte ich manche Apps vermutlich gar nicht mehr nutzen.
Die Realität ist deshalb oft: Entweder Menschen verwenden überall dieselbe einfache PIN – oder sie nutzen biometrische Verfahren, die in vielen Fällen sogar sicherer und deutlich komfortabler sind.
Eine weitere Möglichkeit sind sogenannte Passkeys. Leider sieht man sie noch relativ selten.
Ich kann nur beschreiben, wie das aus Nutzersicht funktioniert: Wenn man sich mit Benutzername und Passwort anmeldet, wird häufig gefragt, ob man einen Passkey auf dem Gerät speichern möchte. Vermutlich handelt es sich dabei um eine verschlüsselte Information, die lokal auf dem Gerät abgelegt wird.
Beim nächsten Login kann man dann einfach die normale Geräteanmeldung verwenden. Unter Windows erscheint zum Beispiel die bekannte Windows-Anmeldemaske. Man meldet sich also mit dem Windows-Passwort oder per Fingerabdruck an und nicht mehr mit einem zusätzlichen Passwort für den jeweiligen Dienst.
Das ist eine sehr komfortable Lösung. Außerdem gelten Passkeys als relativ sicher, weil sie an das jeweilige Gerät gebunden sind. Man kann sie nicht einfach kopieren und auf einem anderen Gerät verwenden.
Dann gibt es noch spezielle Hardware-Token. Diese Geräte erzeugen zum Beispiel Einmalcodes oder dienen auf andere Weise zur Anmeldung. Ich selbst habe damit bisher kaum praktische Erfahrung. Für einen Kunden habe ich inzwischen zwar ein solches Gerät erhalten, aber noch nicht eingerichtet.
Auch das kann eine sinnvolle Lösung sein, besonders für Menschen, die lieber mit Hardware arbeiten als mit Apps oder Passkeys. Außerdem eignen sich Hardware-Token oft gut, wenn man sich an mehreren Geräten anmelden muss.
Eine weitere Möglichkeit, die ich persönlich sehr angenehm finde, sind Anmeldelinks per E-Mail. Spotify bietet das zum Beispiel an.
Ich mag diese Lösung, weil ich es hasse, auf Smartphones lange Passwörter einzugeben. Besonders auf iPhones ist das mühsam, weil man ständig zwischen Buchstaben, Zahlen und Sonderzeichen wechseln muss. Aber auch unter Android ist das nicht wirklich angenehm.
Ein Login-Link spart diese Eingabe. Man klickt einfach auf den Link und wird direkt angemeldet. Das ist komfortabel und oft auch deutlich zugänglicher.
QR-Codes könnten ebenfalls eine interessante Lösung sein. Man könnte zum Beispiel Benutzername und Passwort oder einen Login-Token als QR-Code bereitstellen. Das sieht man allerdings nur sehr selten.
Natürlich sind auch QR-Codes nicht für alle Menschen barrierefrei. Trotzdem können sie in bestimmten Situationen hilfreich sein.
Eine weitere verbreitete Lösung ist Single Sign-on, kurz SSO. Dabei meldet man sich über einen bestehenden Dienst an, zum Beispiel über Google, Apple oder Microsoft.
Grundsätzlich halte ich das für eine gute Lösung. Schade ist allerdings, dass diese Verfahren fast ausschließlich von großen US-amerikanischen Plattformen dominiert werden. Es wäre schön, wenn es hier mehr unabhängige oder europäische Alternativen gäbe.
Trotzdem muss man sagen: Viele Menschen haben ohnehin bereits Konten bei Google, Apple, Microsoft oder Facebook. Deshalb ist SSO oft eine praktische und vergleichsweise sichere Möglichkeit zur Anmeldung.
Was man dagegen möglichst vermeiden sollte, sind rein visuelle Captchas oder andere Aufgaben, die aktiv gelöst werden müssen. Solche Systeme schließen viele Menschen aus.
Generell sollte man immer mindestens zwei verschiedene Authentifizierungsmethoden anbieten. Idealerweise sollten diese unterschiedliche Sinne oder Fähigkeiten ansprechen. So erhöht man die Barrierefreiheit deutlich.
Ein weiterer wichtiger Punkt sind Fehlermeldungen.
Viele Anwendungen zeigen heute extrem kryptische Fehlermeldungen an. Nutzende verstehen oft gar nicht, was genau schiefgelaufen ist oder wie sie das Problem lösen können.
Natürlich darf man aus Sicherheitsgründen nicht unbegrenzt Anmeldeversuche erlauben. Trotzdem sollte man Menschen möglichst frühzeitig unterstützen. Zum Beispiel dann, wenn sie ihren Benutzernamen vergessen haben oder ein Passwort falsch eingegeben wurde.
Besonders wichtig sind dabei klare und verständliche Hinweise.
Ein weiteres großes Thema sind Zeitlimits und Timeouts.
Solche Zeitbegrenzungen gibt es praktisch überall, aber fast nie werden sie sichtbar angezeigt. Ich kann mich jedenfalls nicht erinnern, jemals bei einer Bank oder einem anderen Dienst gesehen zu haben, wie viel Zeit man eigentlich für die Eingabe des zweiten Faktors hat.
Dabei existieren diese Limits natürlich aus Sicherheitsgründen. Verständlich ist allerdings nicht, warum sie den Nutzenden nicht angezeigt werden.
Die WCAG empfehlen ausdrücklich, Zeitlimits transparent zu machen und rechtzeitig vor Ablauf eine Verlängerung anzubieten.
Nehmen wir an, das Zeitlimit beträgt 30 Sekunden. Das kann schnell knapp werden. Deshalb sollte das verbleibende Zeitfenster sichtbar sein und man sollte die Möglichkeit haben, die Zeit zumindest ein- oder zweimal zu verlängern.
Gerade bei assistiven Technologien entstehen häufig Verzögerungen. Menschen brauchen manchmal länger, um Inhalte zu lesen, sich Texte vorlesen zu lassen oder Codes einzugeben.
Auch motorische Einschränkungen spielen eine Rolle. Vielleicht dauert es einfach etwas länger, das Smartphone in die Hand zu nehmen oder zwischen Geräten zu wechseln.
Und das betrifft nicht nur Menschen mit Behinderungen. Auch ältere Menschen benötigen häufig mehr Zeit.
Viele Systeme sind aber auf junge, technikaffine und geübte Nutzende ausgelegt. Das führt schnell zu Problemen.
Einrichtung und Wiederherstellung
Ein weiteres wichtiges Thema sind die Ersteinrichtung und das sogenannte Recovery, also die Wiederherstellung eines Zugangs.
Die Ersteinrichtung ist oft unnötig kompliziert. Wirklich einfache und gut verständliche Prozesse sieht man leider selten.
Das Problem ist häufig, dass nicht die Nutzererfahrung im Mittelpunkt steht, sondern rechtliche oder organisatorische Vorgaben. Dadurch entstehen sehr komplexe Abläufe und lange Erklärungen, die kaum jemand liest.
Hier braucht es vor allem klare Sprache und gute Nutzerführung.
Dasselbe gilt für die Wiederherstellung eines Kontos oder Geräts. Auch dieser Prozess sollte möglichst einfach und barrierefrei funktionieren.
Idealerweise braucht man dafür keinen Telefonanruf.
Ich hatte kürzlich selbst den Fall, dass ein Geldautomat meine Kreditkarte eingezogen hat. Den Zugang zum Online-Banking hatte ich weiterhin. Trotzdem konnte ich keine neue Karte über das Webportal anfordern. Ich musste zwingend bei der Bank anrufen. Das Gleiche gilt teilweise, wenn man seine PIN vergessen hat.
Für gehörlose oder schwerhörige Menschen ist das natürlich ein enormes Problem.
Fazit
Grundsätzlich gibt es heute schon viele etablierte Muster für gute Authentifizierungsprozesse. Diese müssten vor allem konsequent verbessert und barrierefrei umgesetzt werden.
Wichtig sind dabei:
• mehrere Authentifizierungsmöglichkeiten,
• ausreichend Zeit,
• verständliche Fehlermeldungen,
• gute Unterstützung bei der Ersteinrichtung,
• und einfache Recovery-Prozesse.
Dann kann Zwei-Faktor-Authentifizierung deutlich zugänglicher werden, ohne die Sicherheit zu gefährden.