본문 바로가기

성공기준 이해 3.3.8:접근 가능한 인증 (최소) (Level AA)

요약

목표
적은 정신적 노력으로 로그인을 가능하게 만든다.
할 일
사람들이 로그인하기 위해 무언가를 풀거나 기억하거나 기록하도록 강요하지 않아야 한다.
중요성
인지 장애가 있는 일부 사람들은 퍼즐을 풀거나 사용자 이름과 비밀번호를 기억하거나 일회용 비밀번호를 다시 입력할 수 없다.

의도

이 성공 기준의 목적은 사용자가 기존 계정에 로그인할 때 접근 가능하고 사용하기 쉽고 안전한 방법으로 인증할 수 있도록 하는 것이다. 가장 널리 사용되는 인증 형식인 웹 사이트는 일반적으로 로그인 시 사용자 이름과 비밀번호를 사용한다. 그러나 사용자 이름과 비밀번호를 기억하는 것은 특정 인지 장애가 있는 사람들에게 매우 높거나 불가능한 부담을 주며 인증 프로세스에 종종 추가되는 추가 단계도 마찬가지이다. 예를 들어 일회성 인증 코드를 복사해야 하거나 퍼즐을 풀어야 하는 경우 등이 있다.

웹 사이트는 이 성공 기준을 충족하기 위해 사용자가 제공한 개체 또는 텍스트가 아닌 콘텐츠의 인식을 사용할 수 있지만 이러한 기술은 인지 장애가 있는 사람들을 완전히 지원하지는 않으므로 가능하면 피해야 한다. 보다 포괄적이고 접근하기 쉬운 지침은 접근 가능한 인증(향상된)을 참조하라.

이 성공 기준은 기존 사용자 인증에 중점을 둔다. 사용자 이름 생성이나 계정 시작은 다루지 않는다. 많은 웹 사이트의 경우 초기 사용자 이름과 자격 증명을 설정하는 것은 해당 사용자 이름으로 로그인하는 것과 크게 다르지 않을 수 있다. 이 기준을 충족하는 데 사용되는 기술(특히 입력에 붙여넣기를 허용하고 직접 입력에 의존하지 않는)은 계정 생성 시 인지 부담을 줄일 수도 있다. 그러나 성공 기준의 초점은 사용자가 로그인하거나 계정을 인증할 때마다 이전에 제공된 정보를 기억해야 하는 지속적인 필요성을 줄이는 것이다.

인지 기능 검사

사이트별 비밀번호를 기억하는 것은 인지 기능 검사이다. 이러한 검사는 인지 장애가 있는 많은 사람들에게 문제가 되는 것으로 알려져 있다. 임의의 문자열을 기억하든, 터치 스크린에서 수행하는 패턴 제스처든, 인지 기능 테스트에서는 일부 사람들을 배제한다. 인지 기능 검사를 사용하는 경우에는 다른 인증방법이 하나 이상 있어야 한다.

일부 CAPTCHA 시스템에는 보이는 텍스트에 대한 오디오 대체 수단이 있다. 사용자가 이 오디오를 텍스트로 변환해야 하는 경우 대체 수단의 예외로 인정되지 않는다.

다단계 인증과 같이 인증 절차에 두 단계 이상이 있는 경우 모든 단계가 이 성공 기준을 준수해야 통과된다. 인지 기능 검사에 의존하지 않는 인증 경로가 필요하다.

이메일과 비밀번호를 복구하거나 변경할 수 있는 것은 인증의 중요한 부분이다. 사용자가 계정복원을 위해 대체 정보로 인증하는 경우에는 인지 기능 검사가 아닌 방법이 필요하다.

많은 조직에서는 사용자의 신원을 확인하기 위해 독립적인 소스를 결합하는 2단계 인증을 사용해야 한다. 이러한 소스는 다음을 통해 인증을 결합하여 구성될 수 있다.

  • 지식(예: 비밀번호, 암호 문구의 문자 또는 기억된 스와이프 경로)
  • 보유(예: 장치에서 생성 또는 수신된 인증 코드, 외부 장치의 QR 코드 스캔)
  • 생체 인식(예: 지문 스캐닝, 얼굴 인식 또는 키 입력 패턴).

대부분의 지식 기반 인증 방법은 인지 기능 검사에 의존하므로 사용자를 지원하는 매커니즘을 사용할 수 있어야 한다. 인증이 별도의 장치에서 작업을 수행하는 데 의존하는 경우 정보를 복사할 필요 없이 작업을 완료할 수 있어야 한다. 사용자가 어떤 장치 기반 인증 방법을 사용할 수 있는지 아는 것이 불가능할 수도 있다. 다양한 방법을 제공하면 자신에게 가장 적합한 경로를 선택할 수 있다.

인증 접근 방식

저작자가 사용자 에이전트(브라우저 및 타사 비밀번호 관리자)가 필드를 자동으로 채울 수 있도록 허용한 경우 웹 사이트는 사용자 이름(또는 이메일) 및 비밀번호 입력을 인증 방법으로 사용할 수 있다. 일반적으로 로그인 양식이 성공 기준 1.3.5 입력 목적 식별을 충족하고 양식 컨트롤에 성공 기준 4.1.2 이름, 역할, 값에 따라 적절한 접근 가능한 이름이 있는 경우 사용자 에이전트는 필드를 안정적으로 인식할 수 있어야 하며 자동으로 채워진다. 그러나 사용자 에이전트가 필드를 채우는 것을 적극적으로 차단하는 경우(예: 스크립트에 의해) 매커니즘이 작동하지 않기 때문에 페이지는 이 기준을 통과하지 못한다.

복사 및 붙여 넣기

복사 및 붙여넣기를 사용하면 직접 입력(transcription)을 피할 수 있다. 사용자는 로컬 소스(예: 독립형 타사 비밀번호 관리자)에서 로그인 자격 증명을 복사하여 로그인 양식의 사용자 이름 및 비밀번호 필드에 붙여넣거나 비밀번호를 요청하는 웹 기반 명령줄 인터페이스에 붙여넣을 수 있다. 사람들이 인증 필드에 붙여넣는 것을 차단하거나 복사된 텍스트와 입력 필드 사이에 다른 형식(예: "비밀번호의 3, 4, 6번째 문자를 입력하세요")을 사용하면 사용자가 정보를 직접 입력해야 하므로 다른 방법을 사용할 수 없는 한 이 기준을 통과하지 못한다.

이중 인증 시스템(인증 코드)

사용자 이름과 비밀번호 외에도 일부 사이트에서는 이중 인증을 사용하여 사용자에게 확인 코드(비밀번호 또는 일회용 비밀번호라고도 함)를 입력하도록 요청할 수 있다. 인증 코드를 수동으로 입력해야 하는 서비스는 규정을 준수하지 않는다. 사용자 이름 및 비밀번호와 마찬가지로 사용자는 최소한 코드(예: 독립 실행형 타사 비밀번호 관리자, 문자 메시지 애플리케이션 또는 소프트웨어 기반 보안 키)를 붙여넣거나 사용자 에이전트가 필드에서 자동으로 입력할 수 있어야 한다.

부가 기기(secondary device)에서 확인 코드를 수신하거나 생성해야 하는 시나리오가 있다. 예를 들어 노트북의 웹 브라우저에서 인증하려면 휴대폰에 SMS 문자 메시지로 전송되는 인증 코드가 필요하다. 그러나 대부분의 경우 코드를 기본 장치로 직접 전송한 후 복사하여 붙여넣을 수 있다(예: 부가 기기의 코드를 복사하여 기본 장치에 이메일로 전송). 또는 부가 기기에서 콘텐츠를 복사하면 기본 장치에 붙여넣을 수 있는 장치 간 클립보드 공유를 사용하여 가능하다. 코드가 부가 기기에서 기본 장치로 원활하게 전송될 수 있는지 여부를 평가하는 것은 이 성공 기준의 범위를 벗어난다. 이러한 유형의 부가 기기 인증 시스템을 사용하는 웹 콘텐츠를 평가할 때, 사용자의 클립보드에 코드가 제공된다고 가정한다. 따라서 이 기준을 평가하려면 웹 콘텐츠가 관련 인증 입력 필드에 클립보드 내용을 붙여넣을 수 있는지만 확인하면 된다.

코드에 의존하지 않는 2단계 인증 시스템 - 하드웨어 인증 장치(예: YubiKey), 사용자가 실제로 로그인하려는 것을 확인하도록 설계된 보조 애플리케이션(동일한 기본 장치 또는 부가 기기에 있음), 그리고 사용자의 운영 체제에서 제공하는 인증 방식(예: Windows Hello, macOS 및 iOS의 Touch ID/Face ID) 등 - 은 인지 기능 검사아닌 것에 유의해야 한다.

객체 인식

인증 과정의 일부로 CAPTCHA를 사용하는 경우, 예외 사항을 충족하지 않는 한 인지 기능 검사를 포함하지 않는 방법이 있어야 한다. 검사가 단어 기억이나 받아쓰기(transcribing), 웹 사이트에서 제공한 사진 인식 등 웹 사이트에서 설정한 내용을 기반으로 하는 경우 이는 인지 기능 검사가 된다. 사용자가 제공한 사물이나 사진을 인식하는 것은 인지 기능 검사이다. 그러나 레벨 AA에서는 제외된다.

이 맥락에서 객체는 일반적인 영어 정의("보고 만질 수 있는 물질적인 것")를 의미하며 차량과 동물을 포함할 수 있다. 검사가 인식 범위를 벗어나는 경우(예: 고양이 수에 개 수를 곱하는 경우) 예외로 인정되지 않는다.

일부 형태의 객체 인식에는 특정 문화에 대한 이해가 필요할 수 있다. 예를 들어 택시는 지역에 따라 다르게 나타날 수 있다. 이는 장애인을 포함한 많은 사람들의 문제이지만 접근성 관련 문제로 간주되지는 않는다.

인증에 사용되는 일부 CAPTCHA 및 인지 기능 검사는 광고 차단 프로그램이 있거나 잘못된 비밀번호를 반복적으로 입력한 경우 등 특정 상황에서만 나타날 수 있다. 이 기준은 매번 사용되는지 아니면 특정 시나리오에 의해서만 발동하는지에 관계없이 이러한 검사가 사용되는 경우에 적용된다.

인증 절차의 스크립트 남용을 방지하기 위해 사용할 수 있는 기술은 여러 가지가 있다.

이들 시스템 중 어느 것도 100% 효과적이지는 않다. 그러나 CAPTCHA가 표시될 가능성이 줄어들 수 있다.

개인 콘텐츠

개인 콘텐츠는 때때로 인증을 위한 두 번째 요소로 사용된다. 예를 들어, 계정 생성의 일부로 사용자는 사진을 업로드하고 로그인할 때 여러 가능한 대안 중에서 해당 사진을 선택하라는 메시지를 받게 된다. 이 경우에는 적절한 보안을 제공하기 위해 주의를 기울여야 한다. 왜냐하면 합법적이지 않은 사용자가 선택 항목이 제시될 때 올바른 개인 콘텐츠를 추측할 수 있기 때문이다.

텍스트 기반 개인 콘텐츠는 회상(인식 대신) 및 입력(항목 선택 대신)에 의존하므로 이 예외에 해당하지 않는다. 사진 기반 개인 콘텐츠는 일부 사람들에게 여전히 장벽이 되지만, 텍스트 기반 버전은 훨씬 더 큰 장벽이 되는 경향이 있다.

문자 숨기기

인지 부하에 기여할 수 있는 또 다른 요인은 입력할 때 문자를 숨기는 것이다. 이 기준에서는 사용자가 비밀번호를 입력(기록)할 필요가 없도록 요구하지만 비밀번호 관리자가 저장할 비밀번호를 만드는 등 비밀번호가 필요한 시나리오도 있다. 선택적으로 비밀번호를 표시하는 기능을 제공하면 인지 장애가 있거나 정확한 입력에 어려움을 겪는 일부 사람들의 성공 가능성이 높아질 수 있다.

이점

기억, 읽기(예: 난독증), 숫자(예: 난산증) 또는 지각 처리 제한과 관련된 인지 문제가 있는 사람들은 인지 능력 수준에 관계없이 인증할 수 있다.

예제

이 성공 기준의 예는 접근 가능한 인증(향상된) 예와 동일하다.

  • 웹 사이트는 적절하게 표시된 사용자 이름(또는 이메일) 및 비밀번호 필드를 로그인 인증으로 사용한다(성공 기준 1.3.5 입력 목적 식별성공 기준 4.1.2: 이름, 역할, 값 충족). 사용자의 브라우저 또는 통합된 타사 비밀번호 관리 확장 프로그램은 입력 목적을 식별하고 사용자 이름과 비밀번호를 자동으로 채울 수 있다.
  • 웹사이트는 붙여넣기 기능을 차단하지 않는다. 사용자는 타사 비밀번호 관리자를 사용하여 자격 증명을 저장하고 복사한 후 로그인 양식에 직접 붙여 넣을 수 있다.
  • 웹사이트에서는 WebAuthn을 사용하므로 사용자는 사용자 이름/비밀번호 대신 장치로 인증할 수 있다. 사용자의 장치는 사용 가능한 모든 양식을 사용할 수 있다. 노트북과 휴대폰의 일반적인 방법은 얼굴 스캔, 지문, 개인 식별 번호(PIN: Personal Identification Number)이다. 웹 사이트는 특정 수단의 사용을 강요하지 않는다. 사용자가 자신에게 맞는 방법을 설정한다고 가정한다.
  • 웹사이트에서는 OAuth 방법을 사용하여 제3자 제공업체에 로그인할 수 있는 기능을 제공한다.
  • 2단계 인증이 필요한 웹 사이트에서는 사용자가 버튼을 눌러 시간 기반 토큰을 입력하는 USB 기반 방법을 포함하여 2단계 인증에 대한 다양한 옵션을 허용한다.
  • 2단계 인증이 필요한 웹사이트에는 신원 확인을 위해 사용자 기기의 앱으로 스캔할 수 있는 QR 코드가 표시된다.
  • 2단계 인증이 필요한 웹 사이트는 사용자의 장치에 알림을 보낸다. 사용자는 신원을 확인하기 위해 장치의 인증 매커니즘(예: 사용자 정의 PIN, 지문, 얼굴 인식)을 사용해야 한다.

관련 자료

자료는 정보 제공 목적으로만 제공되며 보증을 암시하지 않는다.

기법

이 섹션에서 번호가 매겨진 각 항목은 WCAG 실무 그룹이 이 성공 기준을 충족하기에 충분하다고 간주하는 기법 또는 기법의 조합을 나타낸다. 그러나 이러한 특정 기법을 사용할 필요는 없다. 다른 기법 사용에 대한 자세한 내용은 WCAG 성공 기준에 대한 기법 이해, 특히 "기타 기법" 섹션을 참고하라.

충분 기법

오류

다음은 WCAG 실무 그룹에서 이 성공 기준의 실패로 간주하는 일반적인 실수이다.

맨 위로