9.3.3.8 Zugängliche Authentifizierung (Minimum) - Ergänzungen

[detlevhfischer]

• Löschung des ggf. missverständlichen Satzes "Sofern es keine Alternative gibt (beispielsweise die Bestätigung eines Vorgangs mithilfe eines Links oder einer Schaltfläche), wäre dies als Fehler im Sinne des Prüfschritts zu werten."
• Ergänzung Positivbeispiele: Anmeldung über OAuth Drittanbieter, biometrische Authentifizierung, und QR-Code-Scan
• Ergänzung Hinweise, 3.1: Beschränkung der Authentifizierung auf Anmeldung bei bestehenden Konten
• Ergänzung von Verifizierungs-Code (Einmal-Passcode)
• Ergänzung Hinweise, 3.2: Zwei-Faktor-Systeme, die nicht auf Codes beruhen, sind keine kognitiven Funktionstests
• Ergänzung Hinweise, 3.2: USB Security Tokens als Beispiel für Hardware-Authentifizierung
• Ergänzung Hinweise, 3.4: Beschränkung der Geltung für CAPCHA auf Fälle, wo diese als Teil einer persönlichen Authentifizierung eingesetzt werden

[detlevhfischer]

@johannesFischer84 Danke, Ich habe deine Hinweise ergänzt - willst Du das mal gegenlesen?

[johannesFischer84]

@detlevhfischer Sehr gut, danke :-) Nur zwei Anmerkungen:

Erste Anmerkung: In Abschnitt 3.2 hast du geschrieben:

Zwei-Faktor-Systeme, die nicht auf Codes beruhen, einschließlich Hardware-Authentifizierungsgeräte, nutzen keine kognitiven Funktionstests.

Ich weiß nicht, ob sich jeder etwas unter dem Begriff "Hardware-Authentifizierungsgeräten" vorstellen kann. Um es etwas konkreter zu machen, hatte ich im Issue #404 das Beispiel "USB-Security-Tokens" genannt. Dazu gibt es auch einen deutschsprachigen Wikipedia-Artikel, sodass man sich leichter Informationen dazu verschaffen kann, wenn man es nicht kennt. Würde für dich etwas dagegen sprechen, dies als Beispiel bei dem Begriff zu nennen?

Ansonsten könnte #403 und #404 dann geschlossen werden.

Zweite Anmerkung: Zu Prüfschritt 3.3.8 gab es noch das Issue #402. Aber vermutlich wolltest du das gesondert bearbeiten und es ist nicht untergegangen.