Anforderungen für Identifikations- und Authentifizierungssysteme

Aus besondere tipps
Wechseln zu: Navigation, Suche

Textentwurf[Bearbeiten]

Dieser Text wird als Entwurf von verschiedenen Autoren erarbeitet. Er ist kein besonderer Tipp. Die Weiterverwendung des Entwurfs z.B. für eigene ähnliche Briefe etc. ist gestattet. Allerdings übernehmen wir keinerlei Verantwortung für Richtigkeit und Folgen solcher Texte.


Einleitung[Bearbeiten]

Die zunehmende Digitalisierung des alltäglichen Lebens macht es notwendig, sich gegenüber Systemen zu identifizieren und authentifizieren. Neben den klassischen Passwortverfahren werden immer mehr sog. Zwei-Faktor-Systeme eingesetzt- nämlich die Kombination aus wissen (ein Kennwort oder eine PIN) und haben (einer Hardware).

Dieses Papier soll Anforderungen an solche Systeme und insbesondere an die Hardware formulieren, damit sie barrierefrei von blinden und sehbehinderten Menschen genutzt werden können.

Ein solches Identifikationssystem kennt und nutzt jeder - die EC-Karte der Bank.

Wenn hier von zugänglicher Software gesprochen wird, dann ist damit gemeint zugänglich im Sinne der BITV 2.0 oder der aktuellen WCAG.

Erkennung und in Betriebnahme[Bearbeiten]

  • Hardware, die für solche Systeme benötigt wird muss leicht optisch und taktil identifizierbar sein. Dies ist vor allem für unterschiedliche Karten und Dolngles wichtig, die sich sonst nicht unterscheiden lassen. Es ist nicht akzeptabel alle Scheckkarten an einem Geldautomaten durchprobieren zu müssen, um die richtige zu finden.
    • Der Typ eines solchen sog. Tokens muss eindeutig optisch und taktil erkannt werden können - z.B. alle EC-Karten
    • Es kann eine genaue Identifikation innerhalb eines Typs möglich sein z.B. unterschiedliche Markierungen für unterschiedliche EC-Karten.
  • Zugängliche PIN- oder Passwortbriefe: Die initialen Kennwörter etc. müssen in zugänglicher Form z.B. als Braille oder als Audio-Datei auf einer CD verfügbar sein. Dabei müssen selbstredend die gleichen Sicherheitsbestimmungen wie bei normalen PIN-Briefen gelten.
  • Taktile Ausrichtung des Tokens: Oft ist es notwendig die Karte in einer bestimmten Lage in ein Lesegerät einzuführen. Hier sollte eine taktile Markierung die Ausrichtung des Tokens unterstützen. hierzu könnte z.B. eine Ecke angeschrägt sein, auf die bei den Instruktionen Bezug genommen wird.

Interaktion[Bearbeiten]

  • Sämtliche Software oder anzeigen die zu einer Aktion aufrufen oder Informationen ausgeben müssen barrierefrei nutzbar sein:
    • Software mit Pin-Eingabe-Dialogen müssen barrierefrei sein. Das beinhaltet auch Dialoge zur Verwaltung von PINs, Einmalpasswörtern (OTP) etc.
    • Terminals an denen man sich anmelden kann, müssen über einen Screenreader zum Vorlesen der Dialoge verfügen.
    • Es ist zulässig, und hilfreich wenn die Sprachausgabe in Abhängigkeit des Tokens aktiviert wird - diese EC-Karte gehört zu einem Menschen der eine Sprachausgabe benötigt.
    • Es ist akzeptabel, wenn die Software selbst die Aufforderungen und Informationen vorliest und nicht auf einen Screenreader zurückgreift, solange alle Anwendungsfälle barrierefrei genutzt werden können.
    • Displays von Kartenlesern oder Tokens die von sich aus Zahlencodes etc. anzeigen wie etwa die sog. RSA-Tokens müssen über eine Möglichkeit zur akustischen Ausgabe auf einem Kopfhörer bereitstellen. Taubblinde Menschen bräuchten hier eine Ausgabe über Vibrationssignale ähnlich der Silen-t-Uhr von tisot.
    • Bei Systemen, bei denen die Anzeige aus Sicherheitsgründen direkt auf der Hardware erfolgt wie z.B. ein Kartenleser mit Tastatur und Display, muss die Hardware auch die barrierefreie Ausgabe organisieren. Dies beinhaltet neben der Möglichkeit einer Sprachausgabe auch die Möglichkeit zur Vergrößerung. Die Anzeige bzw. Sprachausgabe über eine Software am PC, wie sie von einigen Herstellern von Kartenlesern vorgeschlagen wird ist nicht akzeptabel, da die bewusste Sicherheit untergraben wird.