:::
什麼是可及的身份驗證?
可及的身份驗證要求登入、驗證與找回帳號流程不要只依賴記憶、辨識圖像、複雜解謎或難以操作的步驟。它是 WCAG 2.2 中與真實使用任務高度相關的成功準則。
重點摘要
- 可及的身份驗證關注使用者能不能順利登入、驗證身分與找回帳號。
- 流程不應只依賴記憶測驗、辨識圖片、複雜驗證碼或難以操作的任務。
- 比較好的做法是支援密碼管理器、一次性代碼、複製貼上、替代驗證方式與清楚錯誤提示。
為什麼登入流程特別重要?
很多服務真正重要的功能都在登入後。即使首頁、內容頁與商品頁都做得很好,如果登入、雙因素驗證或找回帳號流程讓人卡住,使用者仍然無法完成任務。
這類問題常影響視覺、認知、記憶、手部操作或使用輔助科技的人,也會影響臨時受傷、使用行動裝置或處在壓力情境中的一般使用者。
常見風險
可及的身份驗證不是要求網站取消安全機制,而是避免安全流程只剩一種很難使用的方式。
- 只能靠辨識圖片或扭曲文字通過驗證。
- 不允許密碼管理器、複製貼上或一次性代碼自動填入。
- 要求使用者記住複雜資訊,卻沒有可用的替代方式。
- 驗證錯誤訊息不清楚,使用者不知道下一步。
- 逾時過短,或重新驗證後遺失已輸入資料。
團隊可以先檢查什麼?
先用真實任務走過登入、註冊、雙因素驗證、忘記密碼與帳號恢復流程。確認鍵盤能操作、錯誤提示清楚、驗證碼有替代方式、密碼管理器可用。
DevCheck 可以協助做頁面層級的初步掃描與情境模擬,但登入流程是否真的可完成,仍需要人工操作與實際測試。
常見問題
可及的身份驗證代表不能用驗證碼嗎?
不是。重點是不能只有一種會阻擋使用者的驗證方式。若使用驗證碼,應提供可用替代方案並避免造成不必要的操作門檻。
這是 WCAG 2.2 的新要求嗎?
是。WCAG 2.2 新增與身份驗證相關的成功準則,提醒團隊不要讓登入與驗證流程只依賴認知測驗或難以操作的任務。
相關頁面
- Accesserty DevCheck
用瀏覽器內工具檢查網站無障礙、WCAG、ARIA、鍵盤操作、焦點路徑、AI 語意與 PDF 結構訊號。
- WCAG 術語頁
- 網站上線前無障礙檢測指南
- WCAG 檢測清單
- WCAG 檢測工具