Barrierefreiheit bei der Authentifizierung

00:00:00: Herzlich willkommen zu einem neuen Podcast zur digitalen Barrierefreiheit.

00:00:04: Heute gibt es wieder ein technischeres Thema, es geht nämlich um die Zwei-Faktor-Authentifizierung.

00:00:11: Die Zwei Faktor Authentifozierung bedeutet dass man mindestens zwei Faktoren benötigt, die unabhängig vorninander sind um sich irgendwo anzumelden.

00:00:23: Das heißt zum Beispiel, dass man ein Passwort eingebt und einen Code im Authenticator freigibt.

00:00:31: Nicht als zweiter Faktor zählt zum Beispiel so was wie ein Fingerabdruck.

00:00:35: also wenn ich mein Smartphone mit den Fingerabdrug oder mit Gesichterkennung entsperre ist das einfach nur eine Alternative zu einem Pin.

00:00:43: aber es ist kein Zweiterfaktor sondern es ist eigentlich nur ein Faktur.

00:00:48: Das muss man immer dazu sagen weil das häufig verwechselt wird.

00:00:54: Zwei Faktor Authentifizierung ist vielleicht das große Hemmnis oder eines der großen Hemmnisse unserer Zeit, weil wir immer mehr Anwendungen verwenden werden die diese zwei Faktoren erfordern.

00:01:08: Denken wir so Dinge wie die irgendwelche Verwaltungsakte betreffen also Public Apps oder Krankenkassen-Apps wie zum Beispiel die elektronische Patientenakte, das digitale Postfach und solche Dinge die eigentlich immer zwei Faktoren erfordern.

00:01:26: Häufig sogar drei, weil ich habe zum Beispiel über der EPA muss man tatsächlich sein Passwort eingeben.

00:01:33: Zumindest nach einer gewissen Zeit wenn man sich längere Zeit nicht mehr eingeloggt hat also beim Mutze ein Konto anlegen und da muss du das Passwort eingeben Dann muss man eine Pin eingeben Die Apppin Und man muss die Krankenkassenkarte dran halten, zumindest gelegentlich und diese Pin eingeben.

00:01:54: Also spaßig ist anders.

00:01:57: aber das ist jetzt super super sicher.

00:01:59: also es kann niemand mehr unsere Krankenkassenarten klauen.

00:02:03: Sagt das die Reihe Ende?

00:02:06: Warum ist das Thema bei Ihre Freiheit wichtig?

00:02:08: bei zwei Faktor-Authentifizierung?

00:02:11: Die Gründe habe ich eigentlich schon genannt.

00:02:12: wir haben ganz viele Sachen wie zum Beispiel Banking Apps die wir brauchen sicher sein müssen.

00:02:21: Also da gibt es auch Vorgaben.

00:02:23: tatsächlich von der EU glaube ich, dass sie gewisse Sicherheitsfaktoren einhalten müssen.

00:02:32: die Ältere erinnern sich noch das wir früher hatten so ewig lange Nummern mit THNs also Transaktionsnummern.

00:02:39: und glaubst du man immer irgendeine eingeben vor diesen Nummern damit man da reinkam?

00:02:43: Und ist das irgendwann abgeschafft worden aufgrund dieses Gesetzes?

00:02:47: Auch SMS-Autortifizierung, also dass man eine SMS zugeschickt bekommen hat.

00:02:52: Und die Nummer dann eingeben musste es auch abgeschafft worden größtenteils.

00:02:56: Also man hat heute nur noch reine Authenticator Apps oder halt Hardware mit dem man sich authentifizieren muss und wenn man das nicht kann, dann kommt man nicht an bestimmte Daten dran.

00:03:08: Und wenn man im Hinterkopf hört, dass viele Punk'en gar keine Filial mehr haben vor Ort oder an vielen Orten keine Filialen mehr haben.

00:03:21: Heißt das, dass man im Prinzip ohne diese Apps eigentlich aufgeschmissen ist?

00:03:32: In der WCAG-Poket II also die aktuelle Version, die in der EU immer noch nicht gültig ist.

00:03:38: zum Zeitpunkt Mai zwölfhalsend sechsundzwanzig gibt es zwei Anforderungen, die sich speziell mit dem Thema Authentifizierung beschäftigen.

00:03:48: Das ist einmal drei drei acht Accessible Auditiation Minimum, das ist ein Doppel-Akkriterium heißt also die meisten Akteure müssen es erfüllen und hier wird gesagt dass sich die anmeldende Person nicht etwas merken muss um sich anmelden zu können.

00:04:14: Passwörter wäre dann raus, aber es wird ausdrücklich gesagt wenn ein Password Manager erlaubt ist.

00:04:22: Dann sind auch Passwörter okay.

00:04:24: das heißt da muss man sich ja die Passwürter nicht merken oder man muss sich nur das Master Passwort merken und sie sind auf weiße abgesichert zum Beispiel in den Smartphones Und das wäre dann ok.

00:04:36: und auch Capshits also grafische Kurz zB sind prinzipiell erlaubts.

00:04:42: Man spricht dann vor kognitiven Tests diese Prinzipien erlaubt, wenn es eine Audioalternative gibt.

00:04:50: Ich bin da generell nicht so wirklich glücklich davon weil es gibt auch Leute die Hörsehbehinderung oder Taubstuhl sind und die gebären dann auch aufgeschmissen werden das nur grafische oder audioalternativen gibt.

00:05:08: Generell behalte ich Captures auf der direkten Eingabe der NutzerInnen basierend für Quatsch.

00:05:16: Also das ist totaler Bullshit heutzutage, auch wenn Recapture und Hack Capture und wie sie alle heißen was anderes behaupten.

00:05:25: Da ist wirklich der Sinnvollste dass man die Interaktion beobachtet.

00:05:31: Der gibt es mittlerweile also die Interektionen der Nutzenden beobachtet und daraus ableitet ob das ein Mensch ist oder nicht.

00:05:39: Ich werde euch noch verlinken, eine Open-Source Alternative.

00:05:42: Es gibt doch dieses Friendly Capture zum Beispiel was da auch basiert oder Cloudflare.

00:05:48: Habt ihr vielleicht auch jetzt gesehen?

00:05:49: Gibt es immer häufiger... Es gibt wieder Open Source Alternative.

00:05:54: Kann ehrlich gesagt nicht sagen wie sicher das ist weil ich bin ja kein Sicherheitsexperte Aber es klingt auf jeden Fall richtig gut.

00:06:02: also nicht Bitte keine Captures benutzen die auf der Eingabe des Nutzer, der Nutzerin basieren.

00:06:11: Weil das einfach die Dinger sind so kompliziert dass es viele Menschen einfach nicht hinkriegen entweder aus technischen Gründen oder aus kognitiven Gründen.

00:06:21: und Es gibt dann noch das Kriterium drei Punkt.

00:06:24: drei Punkt neun Accessible Authentication Enhanced.

00:06:36: Das ist AAA also muss in der Regel nicht erfüllt werden.

00:06:43: Das ist im Prinzip das gleiche wie DreiDreiAcht, nur dass keine Captures generell verboten sind die auf der Interaktion basieren.

00:06:54: Das heißt auch dem Input des Nutzerinnen, was wie gesagt immer okay ist in Captures die Nutzung beobachten und daraus ableiten Ob das ein Mensch ist oder nicht.

00:07:09: Dieses Capture-Thema, das wird uns noch sehr, sehr schlimm verfolgen, befürchte ich.

00:07:15: Weil durch diese ganzen KI large language models die Informationen von den Websites absaugen haben viele Websites jetzt angefangen also viele normale Websites, ganz konventionelle ohne irgendwelche Sicherheitsgedöns.

00:07:31: Haben angefangen der Captures reinzubauen damit die KIs... Also die Bots da nicht einfach Informationen abgreifen können.

00:07:40: Und ich glaube, das wird uns ganz stark auf die Füße fallen wenn sie solche Sachen wie Recapture verbinden.

00:07:47: Ich hoffe mal, dass Sie da halbwegs vernünftig sind.

00:07:50: Ich meine, das zählen ist mal ein kommunizierter Team und dass sich da wirklich verhaltsinbasierte Systeme aufbauen.

00:07:57: Es ist datenschutzrechtlich, glaub' ich, nicht immer ganz sauber.

00:08:01: Es is aber immer noch die bessere Lösung.

00:08:13: Wie kann man nun Authentifizierung generell barrierefrei gestalten.

00:08:20: Generell muss man sagen, passt jeder Möglichkeit die wir uns ausdenken können so was wie Password SMS Codes, Authenticator Apps spezielle Authenticate Rapps wie Microsoft Authentication oder andere Systeme haben alle ihre Vordachteile für die unterschiedlichen Gruppen.

00:08:40: es gibt jetzt kein System wo wir sagen würden das ist willkommen bei irre frei.

00:08:45: Bei irre frei und sicher.

00:08:47: Natürlich konnten wir sagen, okay, wir nutzen einfach nur Passwörter.

00:08:51: Da ist immer die Gefahr, das kennen wir ja schon, dass die Leute entweder sehr schwache Passwürter verwenden oder dass sie einen Passwort haben oder zwei.

00:08:59: Wenn Sie ein bisschen sicher sind, dass Sie zwei oder drei Passwerte haben, die Sie dann überall verwenden und mit dem bekannten Antriebssektor wenn das Passwort einmal geklagt wurde oder den Zugrück starten einmal bekannst, da können Sie sich überall einloggen.

00:09:14: Das ist also nicht die Lösung!

00:09:22: Das heißt, dass man immer mehrere Möglichkeiten anbieten sollte und generell das man auch immer die Möglichkeit anbietet sollte alternativen zu Passwörtern zu haben.

00:09:35: Passwärter oder Pins, Apppins zum Beispiel.

00:09:40: Bei den Smartphones ist es ja heutzutage standard, dass wir da biometrische Merkmale benutzen können in der Regel Fingerabdruck- oder Gesichterkennung als Alternative zum Apppin.

00:09:50: Ich habe tatsächlich meine ganzen Apppins vergessen für die verschiedenen Packing-Apps, die ich hab und für die Krankenkasse.

00:09:57: Ich hab keine Ahnung welche Pin ich da gesetzt habe weil ich mich da so sette einlogge.

00:10:03: Insofern gibt es da eigentlich auch keine Alternative.

00:10:07: entweder setzen die Leute halt immer den gleichen Pin ein ihr Geburtsdatum oder irgendwas oder man hat halt die Biometrie, die das Ganze dann noch sicherer macht.

00:10:21: Eine weitere Möglichkeit sind zum Beispiel PASCHIS.

00:10:24: PASCIS sehe ich leider relativ selten.

00:10:28: Ich kann es jetzt nur erklären, wie das aus der Nutzerperspektive aussieht.

00:10:34: Wenn man sich anbildet mit Passwort, dann wird man gefragt, möchte man ein PASCI auf dem Gesetz hinterleben?

00:10:42: Es ist irgendeine Form von verschlüsselter Datei, die auf dem Gesellschaft abgelegt oder irgendwas in der Richtung.

00:10:48: Und wenn man sich das nächste Mal einloggt, dann kann man einfach die Windows-Anmeldungsmaske sozusagen verwenden unter Windows.

00:10:57: Das heißt der pragt nach dem Windows Passwort und nicht nach dem anderen Passwort.

00:11:05: Und das ist eine ganz gute Möglichkeit, sich da zu authentifizieren.

00:11:09: Was ich so mitbekommen habe, scheint es auch ein relativ sicheres Verfahren zu sein.

00:11:13: Weil der PASCII immer an das jeweilige Gerät gebunden ist.

00:11:16: Also man kann sie nicht einfach kopieren und sich dann irgendwo anders anmelden.

00:11:25: Dann gibt es spezielle Hardware-Tukens da.

00:11:29: die zeigen dann Codes an zum Beispiel oder auf irgendeine andere Weise.

00:11:36: meldet man sich da an hab ich selber noch nie.

00:11:41: Ich habe es mittlerweile als bekommen tatsächlich irgendein Hardware-Gerät, was ich aber noch nicht eingerichtet hab für Kunden.

00:11:51: Das ist aber auch eine Möglichkeit vielleicht wenn Leute lieber Hardware verwenden statt Passwörter oder Passkeys und sich vielleicht noch verschiedene Geräten anbeten müssen.

00:12:09: Eine andere Möglichkeit, die ich ganz charmant finde ist auch dass man sich einen Link zu schicken lässt.

00:12:15: Das geht zum Beispiel bei Spotify, find' ich eigentlich ganz cool weil ich hasse das Passwort auf dem Smartphone einzugeben.

00:12:20: Auf Apple ist es ja ganz ruhigbar, weil man da immer zwischen Buchstaben, Zahlen und Sonderzeichen hin- und herwechseln muss.

00:12:30: eine furchtbare Erfindung in der Appeltastatur.

00:12:33: aber auf Android ist jetzt auch nicht wesentlich angenehmer.

00:12:39: Das ist eine ganz gute Möglichkeit, diese Links, dass man sich direkt über das jeweilige Gerät dann anmelden kann in die Spotify-Maske einloggen kann.

00:12:50: Es spart einfach diese lange Eingabe von Passwörtern und Produzernahme.

00:12:57: Da wäre natürlich auch die Möglichkeit, wenn man sagt QR-Codes sehe ich leider relativ selten also Benutzernahmen und Passwort als QR Code Wenn sich auch eine ganz charmante Möglichkeit wird, aber sehr selten angeboten und das natürlich auch nicht für alle bei ihrer Freie.

00:13:15: Und die weitere Möglichkeit ist SSO Segusanon.

00:13:18: Das ist finde ich an sich auch ne gute Möglichkeit.

00:13:23: Es geht meistens ja über verschiedene Dienste zum Beispiel Google, Apple, Microsoft Ich glaube auch Twitter Und das ist eigentlich eine ganz gute Möglichkeit.

00:13:40: Nur ein bisschen Schade, dass es fast nur amerikanische Dienste sind über die man sich da anmelden kann.

00:13:45: Aber ganz cool wenn wir da... Es gibt ja ganz viele Netzwerke, die nicht US-amerikanisch fokussiert sind und nicht TikToks sind.

00:13:56: Wenn es da eine weitere Möglichkeit gäbe, dann würde ich das auch benutzen.

00:14:02: Allerdings ist es so, dass wirklich fast jeder Google Facebook, Microsoft oder Apple konnten hat.

00:14:10: Oder wahrscheinlich alle gleichzeitig.

00:14:12: Insofern ist es schon eine ganz gute Möglichkeit sich relativ sicher anzumelden.

00:14:26: was wir generell verwandeln sollte sind reine Captures die man lösen muss um reinzukommen also reine rein visuelle Captures da gibt es tatsächlich noch.

00:14:44: Also man sollte immer mindestens zwei verschiedene Methoden anbieten, die auf zwei verschiedenen physiologischen oder Sitzwahrnehmungen basieren um das ganze relativ bei ihrer Freizeit zu machen.

00:15:17: Ein Faktor der beim Thema Zwei-Faktor Authentifizierung ganz wichtig ist und leider auch eher bestiefväterlich behandelt wird ist das Thema Fehler-Meldungen.

00:15:34: Das Problem ist heute wirklich, dass viele WebApplikation oder Applikation generell einfach sehr kryptische Fehlermeldungen herausgeben die man als Nutzerin nicht verstehen kann und dementsprechend ist man doch gehemmt um das Problem zu lösen.

00:15:54: Es kann einfach immer passieren, dass man ein Passwort falsch eingibt oder den Benutzernamen falsch eingebt.

00:16:00: Und natürlich aus Sicherheitsgründen kann man sich beliebig oft mit Passwörtern und Benutzerdamen rum-experimentieren.

00:16:09: Trotzdem sollte man gucken, dass es möglicherweise auch die Nutzerinnen zu helfen und möglichst frühzeitig guckt das man ihnen Hilfe gibt wenn sie sich zum Beispiel ihren Benutzermamen vergessen haben.

00:16:28: Ein weiteres wichtiges Thema bei zwei Faktor-Autortifizierung ist das Thema Timeouts bzw.

00:16:35: Zeitlimiterungen.

00:16:37: Zeit Limitierungen sollten angezeigt werden, das sehe ich tatsächlich nirgendwo also kann mich nicht erinnern dass ich das irgendwo gesehen habe Bei irgendeiner Bank oder irgendeinem anderen Service.

00:16:51: wie viel Zeit man eigentlich hat zwischen... Ich gebe zum Beispiel mal Passwort ein und ich gebe die zweiten Faktore frei.

00:16:59: Total ärgerlich, weil es dieses Zeitlimit auf jeden Fall immer gibt.

00:17:02: Aus Sicherheitsgründen ist sowas nachvollziehbar, aber nicht nachvollziehbar warum es eigentlich nicht angezeigt wird.

00:17:11: Generell sollte es vorgeschrieben auch durch die WCAG.

00:17:15: tatsächlich wenn es ein Zeitlimitt gibt dann sollte man eine Möglichkeit anbieten dass die Zeit kurz vor dem Ablaufen, also rechtzeitig vor dem ablaufen zu verlängern.

00:17:30: Gehen wir mal davon aus dass es reichste Sekunden sind dann könnte das auf Schieffall eng werden.

00:17:37: Das heißt da macht es auf jeden Fall Sinn diese Zeit limit anzuzeigen und die Möglichkeit ist zu verlängern nicht beliebig lang natürlich auch Sicherheitsgründen aber zumindest zweimal Verlängerung.

00:17:50: der Hintergrund ist der Das habe ich schon öfter gesagt.

00:17:53: Bei Assistivtechnologien passiert es einfach, dass man immer ja Tests hat und das heißt man ist selber nicht so schnell durch die Behinderung.

00:18:03: Man braucht ein bisschen länger um Sachen zu lesen Oder sich vorlesen zu lassen, man braucht ein bisschen länger um Codes einzugeben.

00:18:10: Man braucht dann etwas länger um das Handy hochzuheben zum Beispiel oder irgendwas anderes.

00:18:16: Also es gibt immer gute warum man länger braucht Übrigens auch ältere Menschen Warum sie länger brauchen als dass was da kalkuliert wird.

00:18:24: Das ist dafür junge, fitte Menschen, Techniker viele Menschen und Menschen die irgendwie schon ein bisschen wie es funktioniert gebaut.

00:18:33: Und nicht für Leute, die vielleicht Schwierigkeiten damit haben.

00:19:01: Ein weiteres richtiges Thema ist die erste Anrichtung und das Recovery also die Wiederherstellung Die erste Einrichtung.

00:19:10: auch das ist leider immer sehr kompliziert.

00:19:12: Also ich habe noch keinen wirklich geschmeidigen Prozess bekommen.

00:19:18: Das Problem ist, hier regiert ja nicht die UX sondern Legal.

00:19:22: Die Rechtsabteilung sagt wie das aber aufgebaut sein muss und es muss da genau so sein und nicht hier anders.

00:19:28: Aber das Problem ist diese Prozesse sind unheimlich kompliziert, die Beschreibungen sind unheimlich kompliziert und deswegen liest das auch keiner.

00:19:38: Hier wirklich eine gute Beschreibung, eine gute Nutzer-Innenführung durch diesen Prozess, das ist glaube ich elementar.

00:19:46: Genauso das Recovery, also dass die Wiederherstellung.

00:19:51: Das sollte auch möglichst so gestaltet sein, dass es relativ einfach ist.

00:19:56: Da sollte nicht irgendwie ein Telefon-Service notwendig sein, sondern eine weitere Möglichkeit.

00:20:01: Habe ich tatsächlich gerade gehabt bei irgendeiner Geschichte wo ich glaube meine Kreditkarte im Automaten... Also der Automat hat meine Kreditkarte verschluckt weil da hatte er wahrscheinlich Hunger und Die einzige Möglichkeit, Kreditkarte wiederzubekommen oder noch zu bekommen war tatsächlich dort anzurufen bei der Bank.

00:20:22: Obwohl ich ja meinen Zugang den hatte ich noch.

00:20:25: also den Zugang zum Online-Banking hatte Ich noch.

00:20:28: aber die wollen wirklich dass man da anruft und auch wenn man seine Pin vergessen hat oder sowas muss man dann wirklich anrufen.

00:20:36: Man darf sie nicht einfach über das Bad Portal die Karte neu anfordern Und wenn man dann gehörlos oder schwerhörig ist, dann hat man wohl Pech gehabt.

00:20:45: Dann keine Ahnung was man da machen soll.

00:21:05: Generell gibt es hier glaube ich ganz gut etablierte Patterns die einfach nur noch verbessert werden müssen.

00:21:10: also das gibt ja mittlerweile viele Apps bei dem man sich authentifizieren muss.

00:21:16: Das heißt man jatzt auch mit der Zeit wie es funktioniert Und man sollte sich dann auch an diese Patterns halten, wie gesagt mehrere Möglichkeiten anbieten für mehrere Sinne bzw.

00:21:27: physiologische Herausforderungen und dann sollte es eigentlich in der Regel relativ gut klappen.

00:21:34: Ausreichend Zeit ist ganz wichtig – Hilfe bei der Erster Richtung oder bei der Recovery bzw.

00:21:42: die Prozesse so gestalten dass sie ohne weiteres verständlich sind.

00:21:47: Und was der richtige Fehler meldungen, das ist glaube ich auch ein ganz wichtiges Thema beim Thema Authentifizierung.

00:21:56: So, das war's für heute!

00:21:57: Ich hoffe ihr konntet ein paar Dinge mitnehmen und freue mich wenn ihr beim nächsten Mal wieder einschaltet.

00:22:04: Bis bald.