← Zur Ratgeber-ÜbersichtBFSG Check

2FA und Einmalcodes barrierefrei umsetzen: typische Login-Barrieren vermeiden

Schematische Darstellung eines barrierefreien 2FA-Login-Dialogs mit Einmalcode, Fokusrahmen und Sicherheitscheckliste
Schematische Darstellung eines barrierefreien 2FA-Login-Dialogs mit Einmalcode, Fokusrahmen und Sicherheitscheckliste

Dateiname (Slug): 2fa-einmalcodes-barrierefrei-umsetzen-login-barrieren-vermeiden

Meta Title (68 Zeichen): 2FA barrierefrei umsetzen: Einmalcodes ohne Login-Barrieren | BFSG

Meta Description (157 Zeichen): So setzen Sie 2FA, OTP und Einmalcodes barrierefrei um: typische Login-Barrieren erkennen, mit WCAG/BFSG priorisieren und praktisch beheben.

2FA und Einmalcodes barrierefrei umsetzen: typische Login-Barrieren vermeiden

Zwei-Faktor-Authentifizierung ist aus Sicherheitsgründen oft sinnvoll oder sogar erforderlich. In der Praxis wird ausgerechnet dieser zusätzliche Schutz aber schnell zur zusätzlichen Barriere: sechs getrennte Code-Felder, ein aggressiver Countdown, gesperrtes Copy-and-Paste oder eine Fehlermeldung, die weder sichtbar noch verständlich ist.

Genau hier entsteht ein doppeltes Risiko. Erstens brechen Nutzer den Login ab, obwohl sie sich korrekt anmelden möchten. Zweitens sind Authentifizierungsfunktionen bei digitalen Dienstleistungen nach BFSG nicht irgendein Nebendetail, sondern ein besonders kritischer Teil des Nutzerpfads. Die Bundesfachstelle Barrierefreiheit nennt Identifizierung, Authentifizierung, Sicherheits- und Zahlungsfunktionen ausdrücklich als barrierefrei zu gestaltende Bereiche.

Für Teams empfiehlt sich deshalb ein Tool-first-80/20-Vorgehen: zuerst Scanner und kurze Smoke-Tests auf dem Login-Flow, danach gezielte manuelle Prüfungen an den echten Barrierepunkten. Wenn Sie den Gesamtzustand Ihrer Website noch nicht kennen, starten Sie ergänzend mit einem Überblick zu automatischen und manuellen BFSG-Tests.

Warum 2FA besonders oft Barrieren erzeugt

2FA sitzt an einer neuralgischen Stelle: Wer hier scheitert, kommt gar nicht erst in Ihr Portal, Ihren Checkout oder Ihr Kundenkonto. Gleichzeitig treffen im OTP-Schritt mehrere Anforderungsarten aufeinander:

  • Kognitive Belastung: Code merken, Gerät wechseln, Zeitdruck verarbeiten.
  • Tastaturbedienung: Fokus muss stabil bleiben und logisch weiterlaufen.
  • Screenreader-Kompatibilität: Felder, Statusmeldungen und Fehler müssen verständlich angekündigt werden.
  • Mobile Nutzung: SMS-Code, Mail-Code oder Authenticator-App laufen oft parallel auf demselben oder auf einem zweiten Gerät.

W3C/WAI stellt in WCAG 2.2 bei „Accessible Authentication“ klar: Eine Authentifizierung darf Nutzer nicht dazu zwingen, Informationen manuell zu transkribieren, wenn keine zugängliche Alternative oder Unterstützung vorhanden ist. Genau deshalb sind schlecht umgesetzte Einmalcode-Flows so problematisch.

BFSG/WCAG: Warum der OTP-Schritt rechtlich und praktisch relevant ist

Für Dienstleistungen im elektronischen Geschäftsverkehr verlangt die BFSG-Verordnung, dass Identifizierungs-, Authentifizierungs-, Sicherheits- und Zahlungsfunktionen wahrnehmbar, bedienbar, verständlich und robust gestaltet sind. Das ist für Login- und 2FA-Strecken unmittelbar relevant.

Auf technischer Ebene sind vor allem diese WCAG-Themen entscheidend:

  • Accessible Authentication (WCAG 2.2, SC 3.3.8): keine unnötige kognitive Hürde durch manuelle Übertragung oder Verbot von Hilfsmechanismen.
  • Input Purpose / Programmatic Identification: Login- und Code-Felder sollten so ausgezeichnet sein, dass Browser, Passwortmanager und unterstützende Eingabehilfen sie erkennen können.
  • Name, Role, Value / Statusmeldungen: Fehler, Timer, Erfolg und Sperrzustände müssen technisch nachvollziehbar sein.
  • Tastatur und Fokusführung: Wer ohne Maus arbeitet, darf nicht im Code-Widget hängen bleiben.

Wenn Sie parallel Ihre Login-Gesamtstrecke absichern wollen, ist der ergänzende Leitfaden zu SaaS, Kundenportal und Login-Barrierefreiheit die passende breitere Einordnung.

Tool-first 80/20: So prüfen Sie 2FA pragmatisch

1) Scanner zuerst auf Login + OTP-Schritt

Ein automatischer Scan ersetzt keinen echten Login-Test, aber er findet schnell wiederkehrende technische Muster:

  • fehlende Labels oder unklare Accessible Names
  • schwache Kontraste bei Fokus- und Fehlerzuständen
  • problematische ARIA-Konstruktionen im OTP-Widget
  • fehlende Zuordnung von Hinweisen und Fehlermeldungen

Gerade wenn Login und 2FA als wiederverwendete Komponenten in mehreren Produkten auftauchen, lohnt sich dieser Einstieg. Ähnlich priorisieren Sie auch bei Formularen mit Labels und Fehlertexten.

2) Dann ein 12-Minuten-Realtest ohne Maus

Prüfen Sie den kompletten Flow bewusst ohne Maus:

  1. Login öffnen.
  2. Benutzername und Passwort eingeben.
  3. OTP-Schritt erreichen.
  4. Code einfügen oder eingeben.
  5. Fehler absichtlich provozieren.
  6. Code erneut anfordern.
  7. Auf ein anderes Gerät wechseln oder simulieren.

Achten Sie dabei auf dieselben Grundlagen wie bei der allgemeinen Tastaturbedienung mit Fokus und Tab-Reihenfolge: Ist der Fokus sichtbar, logisch und jederzeit kontrollierbar?

3) Zwei kurze Screenreader-Checks reichen oft für die größten Risiken

Schon ein kurzer Smoke-Test mit VoiceOver und NVDA deckt viel auf:

  • Wird das Code-Feld als sinnvolle Eingabe angekündigt?
  • Werden Anzahl der Stellen, erlaubtes Format und Ablaufzeit klar vermittelt?
  • Werden Fehlermeldungen automatisch vorgelesen?
  • Ist „Code erneut senden“ eindeutig benannt und erreichbar?

Die häufigsten OTP-Barrieren – und wie Sie sie beheben

1) Sechs getrennte Eingabefelder mit Fokus-Chaos

Viele OTP-Formulare teilen den Code in sechs einzelne Felder auf. Das sieht ordentlich aus, erzeugt aber oft unnötige Komplexität:

  • Auto-Advance springt zu früh oder unvorhersehbar weiter.
  • Backspace verhält sich inkonsistent.
  • Screenreader lesen nur „Bearbeiten“ statt „Ziffer 1 von 6“.
  • Paste verteilt den Code nicht sauber.

Bessere Lösung: Verwenden Sie nach Möglichkeit ein einziges Eingabefeld für den gesamten Code und gestalten Sie es visuell so, dass der Code trotzdem klar strukturiert wirkt. Das reduziert Fokusprobleme, vereinfacht Screenreader-Ausgabe und erleichtert Copy-and-Paste.

Wenn Sie aus Designgründen mehrere Felder behalten, dann nur mit klaren Regeln:

  • logische Tab-Reihenfolge
  • saubere Beschriftung jedes Feldes
  • konsistente Pfeil-/Backspace-Navigation
  • vollständige Paste-Unterstützung für den gesamten Code
  • keine unerwarteten Fokus-Sprünge

2) Copy-and-Paste oder Passwortmanager werden blockiert

Das ist einer der häufigsten und unnötigsten Fehler. W3C/WAI nennt ausdrücklich, dass Copy-and-Paste oder Autofill nutzbar bleiben müssen, damit Nutzer nicht gezwungen werden, den Code manuell zu übertragen.

Praxisregel:

  • Blockieren Sie kein Einfügen.
  • Verhindern Sie nicht das AutoFill von Browsern oder Passwortmanagern.
  • Nutzen Sie sinnvolle Autocomplete-Hinweise wie autocomplete="one-time-code", wo passend.

MDN dokumentiert one-time-code ausdrücklich als Autocomplete-Wert für OTP-Felder. Gerade mobil ist das ein schneller, wirksamer 80/20-Fix.

3) Der Code muss von einem zweiten Gerät manuell übertragen werden

Ein klassischer Problemfall: Der Nutzer erhält einen Code per SMS, Mail oder Authenticator-App auf einem anderen Gerät und muss ihn unter Zeitdruck auf dem primären Gerät abtippen.

Das ist besonders kritisch für Menschen mit kognitiven Einschränkungen, Lernschwierigkeiten oder motorischen Einschränkungen. WCAG 2.2 bewertet genau diese manuelle Transkription als Problem.

Bessere Optionen sind:

  • AutoFill über autocomplete="one-time-code"
  • Copy-and-Paste ohne Hürden
  • alternative zweite Faktoren wie Passkeys, WebAuthn oder Hardware-Token
  • Bestätigungs-Flow auf dem Gerät statt manuell abzutippendem Code

Nicht jede Organisation kann sofort komplett auf OTP verzichten. Aber schon eine zugängliche Alternative senkt Risiko und Abbruchquote deutlich.

4) Countdown, Sperrlogik und Fehlermeldungen erzeugen Stress statt Klarheit

Viele OTP-Dialoge setzen Nutzer unter unnötigen Druck:

  • Der Timer läuft sichtbar ab, aber ohne Erklärung.
  • Nach Ablauf verschwindet der Code kommentarlos.
  • Die Meldung lautet nur „Ungültiger Code“.
  • Nach drei Versuchen ist der Zugang gesperrt, ohne klare nächste Schritte.

Besser ist:

  • den verbleibenden Zeitraum verständlich zu kommunizieren
  • Ablauf, Sperre und Resend-Aktion klar zu erklären
  • Fehler konkret zu benennen, z. B. „Der Code ist abgelaufen. Bitte fordern Sie einen neuen Code an.“
  • Statusänderungen programmatisch an Screenreader auszugeben

Die gleiche Grundlogik gilt wie bei barrierefreien Formular-Fehlermeldungen: Nutzer brauchen konkrete Hilfe, nicht abstrakte Fehlersprache.

5) „Code erneut senden“ ist schlecht erreichbar oder unklar benannt

Wenn der ursprüngliche Code nicht ankommt, ist die Resend-Funktion die Rettungsleine. Trotzdem ist sie oft zu klein, erst nach Ablauf sichtbar oder nur als generischer Linktext wie „Erneut“ umgesetzt.

Abnahmekriterien:

  • per Tastatur erreichbar
  • verständlich benannt
  • Status nach dem Auslösen sichtbar und per Assistenztechnik wahrnehmbar
  • keine unnötige Wartefalle ohne Erklärung

6) Passwort anzeigen, Eingabehilfe und Hilfetexte fehlen

Barrierefreiheit im Login endet nicht beim OTP-Feld. Schon davor scheitern Nutzer oft an unnötiger Unsicherheit:

  • Passwort kann nicht sichtbar gemacht werden
  • Anforderungen an das Format bleiben unklar
  • Hinweistext ist nur visuell vorhanden, aber nicht technisch verknüpft

Wenn der erste Schritt bereits schwach umgesetzt ist, verschärft 2FA das Problem nur noch. Prüfen Sie deshalb den gesamten Auth-Flow und nicht nur das letzte Code-Feld.

Ein robustes OTP-Muster für die Praxis

Wenn Sie ein bestehendes Design pragmatisch verbessern wollen, ist dieses Muster in vielen Fällen die sicherste Wahl:

  • ein einziges Eingabefeld statt sechs Einzelinputs
  • sichtbares Label, z. B. „Einmalcode“
  • kurzer Hilfetext: „Geben Sie den 6-stelligen Code aus Ihrer Authenticator-App oder SMS ein.“
  • inputmode="numeric" nur als Eingabehilfe, nicht als Ersatz für saubere Validierung
  • autocomplete="one-time-code" für unterstützende Browser
  • Paste erlaubt
  • klare Fehlermeldung unter dem Feld, technisch verknüpft
  • gut erreichbare Aktion „Neuen Code senden“
  • sichtbarer Fokus und logische Reihenfolge aller Elemente

Dieses Muster ist meist belastbarer als visuell spektakuläre, aber fragile Multi-Input-Komponenten.

Quick-Test: 9 Fragen für Product, UX und Entwicklung

Wenn Sie wenig Zeit haben, beantworten Sie zu Ihrem 2FA-Flow diese neun Fragen:

  1. Kann der komplette OTP-Schritt ohne Maus abgeschlossen werden?
  2. Bleibt der Fokus jederzeit sichtbar und logisch?
  3. Funktioniert Einfügen des gesamten Codes?
  4. Ist autocomplete="one-time-code" sinnvoll gesetzt?
  5. Werden Browser- oder Passwortmanager-Hilfen nicht blockiert?
  6. Sind Fehlertexte konkret und technisch verknüpft?
  7. Ist „Code erneut senden“ klar benannt und erreichbar?
  8. Gibt es eine nutzbare Alternative zur reinen manuellen Transkription?
  9. Haben Sie den Flow mindestens einmal mit Screenreader und auf Mobilgeräten geprüft?

Wenn Sie hier mehrfach mit „Nein“ antworten, ist Ihr Login sehr wahrscheinlich ein realer Barriere- und Konversionspunkt.

Fazit

2FA ist nicht das Problem. Das Problem ist eine OTP-Umsetzung, die Sicherheit mit unnötiger Reibung verwechselt. Gute 2FA-Flows sind sicher und benutzbar: Sie erlauben Copy-and-Paste, unterstützen AutoFill, reduzieren Fokus-Chaos und geben klare Rückmeldungen bei Fehlern oder Ablauf.

Gerade im BFSG-Kontext lohnt sich hier ein nüchterner 80/20-Ansatz: erst den Login-Flow technisch prüfen, dann die wenigen Barrieren beheben, die den gesamten Zugang blockieren.

CTA: Prüfen Sie Ihre Login-, Formular- und Interaktionspfade strukturiert auf typische BFSG-/WCAG-Risiken: BFSG-Scan starten.

Hinweis: Dieser Artikel stellt keine Rechtsberatung dar, sondern dient der allgemeinen Information.

Quellen:

  • W3C/WAI – Understanding Success Criterion 3.3.8 Accessible Authentication (Minimum): https://www.w3.org/WAI/WCAG22/Understanding/accessible-authentication-minimum
  • W3C/WAI – Understanding Success Criterion 1.3.5 Identify Input Purpose: https://www.w3.org/WAI/WCAG21/Understanding/identify-input-purpose.html
  • W3C/WAI – Technique H98: Using HTML autocomplete attributes: https://www.w3.org/WAI/WCAG21/Techniques/html/H98
  • MDN – HTML attribute: autocomplete: https://developer.mozilla.org/en-US/docs/Web/HTML/Reference/Attributes/autocomplete
  • MDN – One-time passwords (OTP): https://developer.mozilla.org/en-US/docs/Web/Security/Authentication/OTP
  • Bundesfachstelle Barrierefreiheit – FAQ Dienstleistungen im elektronischen Geschäftsverkehr: https://www.bundesfachstelle-barrierefreiheit.de/DE/Fachwissen/Produkte-und-Dienstleistungen/Barrierefreiheitsstaerkungsgesetz/FAQ-elektronischer-Geschaeftsverkehr/faq-elektronischer-Geschaeftsverkehr_node
BFSG Check
Schnell prüfen, ob Ihre Website typische Barrieren hat – und was zuerst zu fixen ist (technisch, keine Rechtsberatung).
Scan startenWas prüft der Check?