Input Password

Verwendung

Felder vom Typ input type="password" dienen der Eingabe von Passwörtern. Die Komponente besteht aus dem eigentlich input-Feld und einem zugeordneten Button, der das Ein- und Ausblenden des eingegebenen Passworts ermöglicht.

Aufbau

Als Komfortmerkmal enthalten Passwort-Felder einen zusätzlichen Button, mit dem das initial per ••• maskierte Passwort im Klartext angezeigt werden kann; dies erleichtert die Überprüfung der Einhaltung von Passwortregeln. Obwohl es sich technisch um ein seperates Element handelt wird dieser Button optisch als integraler Bestandteil des Passwort-Felds dargestellt. Die Vorgaben zur Einbindung dieses Buttons finden sie als allgemeiner gehaltenes Muster bei input type="text".

Beschriftung

Felder vom Typ input type="password" benötigen zwingend eine visuell sichtbare Beschriftung, in welcher der Zweck beschrieben wird. Dies wird grundsätzlich über ein implizit oder explizit verknüpftes <label> erreicht. aria-label als Label-Ersatz sind nicht zulässig, auch Platzhalter-Texte mit dem HTML-Attribut placeholder als alleinige Beschriftung erfüllen die Anforderungen an die Barrierefreiheit nicht.

Tooltips

Passwort-Felder enthalten grundsätzlich keine Tooltips. Bei der erstmaligen Vergabe eines Passworts zum Beispiel im Verlauf eines Registrierungsprozesses ist die bevorzugte Variante die dauerhaft sichtbare Darstellung der Passwort-Regeln unmittelbar am Passwort-Feld.

Inaktive Elemente

Inaktive Elemente mit disabled-Attribut sind visuell deutlich als solche gekennzeichnet, z. B. wenn sie in der Applikationslogik aufgrund fehlender vorhergehender Auswahlen noch nicht aktiv sein können. Sie beinhalten keine Daten.

Rein darstellende Elemente mit readonly-Attribut sind bereits serverseitig mit Daten befüllt, die nicht mehr editierbar sind, und erhalten eine eigenständige Gestaltung, die ihren Zweck visualisiert. Optional können readonly-Felder zugeordnete weitere Inhalte haben, mit denen die Herkunft der vorbefüllten Daten vermittelt wird, z. B. durch ein ELSTER-Logo.

Do’s and Dont’s

So:

Ausreichende Breite, um auch lange Passwörter zuzulassen

So nicht:

Die Verwendung von Passwort-Managern durch Scripting unterbinden

Design

Das Design eines Passwort-Felds unterscheidet sich nicht von Feldern zur Texteingabe. Die Unterscheidung findet nur im Markup und über den Text des zugeordneten Labels sowie in der initialen Maskierung der Eingaben durch Mittelpunkt-Zeichen ••••• statt.

Die Bemaßungen des Felds und die Vorgaben zur Einbindung eines Buttons zum Ein- und Ausblenden von Passwörtern finden Sie daher als allgemeiner gehaltenes Muster bei input type="text".

Code

HTML

Pflichtfelder werden mit dem required-Attribut versehen. Das kennzeichnende * am korrespondierenden label wird über die Einbindung der Datei requiredInput.js oder der gesamten main.js ermöglicht.

WAI-ARIA

Formularelemente müssen zwingend über das aria-describedby-Attribut mit den dazugehörigen Info- und Fehler-Texten verknüpft sein. Bitte beachten Sie, dass Screenreader hier typischerweise die Reihenfolge der IDs berücksichtigen und verknüpfte Texte dementsprechend in der Sortierung der IDs vorlesen, d. h. diese muss der visuellen und logischen Reihenfolge der Oberfläche entsprechen.

JavaScript

Das kennzeichnende Asterisk * am korrespondierenden label eines Pflichtfeldes wird über die Einbindung der Datei requiredInput.js oder der gesamten main.js ermöglicht.

Mit Label

Label

<label for="input-password-1" class="form-label">Label</label>
<input type="password" name="input-password-1" class="form-control " id="input-password-1">

Info-Text

Label

Info-Text

<label for="input-password-2" class="form-label">Label</label>
<input type="password" name="input-password-2" class="form-control " id="input-password-2" aria-describedby="input-password-2-info">
<div class="form-text" id="input-password-2-info">Info-Text</div>

Fehler

Label

Fehler-Text

<label for="input-password-3" class="form-label">Label</label>
<input type="password" name="input-password-3" class="form-control is-invalid" id="input-password-3" aria-describedby="input-password-3-error">
<div class="invalid-feedback" id="input-password-3-error">
  <span class="ds-icon-error-circle-filled" aria-hidden="true"></span>
  <span>Fehler-Text</span>
</div>

Info-Text und Fehler

Label

Ein Fehler-Text

Ein Info-Text

<label for="input-password-4" class="form-label">Label</label>
<input type="password" name="input-password-4" class="form-control is-invalid" id="input-password-4" aria-describedby="input-password-4-error input-password-4-info">
<div class="invalid-feedback" id="input-password-4-error">
  <span class="ds-icon-error-circle-filled" aria-hidden="true"></span>
  <span>Ein Fehler-Text</span>
</div>
<div class="form-text" id="input-password-4-info">Ein Info-Text</div>

Required mit Button

Label

Ihr Passwort muss folgende Voraussetzungen erfüllen:: Groß- und Kleinbuchstaben Nicht erfüllt; mindestens eine Ziffer Erfüllt; mindestens ein Sonderzeichen ( ~ ! @ # $ % ^ & * ( ) - _ = + [ ] { } | ; : , . < > / ) Erfüllt; mindestens 8 Zeichen Nicht erfüllt

<label for="input-password-5" class="form-label">Label</label>
<div class="input-group input-group--composite">
  <input type="password" name="input-password-5" class="form-control " id="input-password-5" pattern="(?=.*[a-zäöüß])(?=.*[A-ZÄÖÜ])(?=.*[0-9])(?=.*[~!@#$%^&*()\-\_=+\[\]{}|;:,.<>\/?]).{8,}" title="Input Password" required aria-describedby="password-requirements-1">
  <button type="button" class="btn btn--secondary btn--icon-only input-group__btn--icon-only" aria-label="Passwort anzeigen" data-desy-password><span class="ds-icon-password-show" aria-hidden="true"></span></button>
</div>
<dl class="form-text ds-password" id="password-requirements-1">
  <dt>Ihr Passwort muss folgende Voraussetzungen erfüllen:</dt>
  <dd class="ds-password__default-color"><span class="ds-icon-dot" aria-hidden="true"></span><span>Groß- und Kleinbuchstaben</span> <span class="visually-hidden">Nicht erfüllt</span></dd>
  <dd class="ds-password__green-color"><span class="ds-icon-check" aria-hidden="true"></span><span>mindestens eine Ziffer</span> <span class="visually-hidden">Erfüllt</span></dd>
  <dd class="ds-password__green-color"><span class="ds-icon-check" aria-hidden="true"></span> <span>mindestens ein Sonderzeichen &#x28; &#x7e; &#x21; &#x40; &#x23; &#x24; &#x25; &#x5e; &#x26; &#x2a; &#x28; &#x29; &#x2d; &#x5f; &#x3d; &#x2b; &#x5b; &#x5d; &#x7b; &#x7d; &#x7c; &#x3b; &#x3a; &#x2c; &#x2e; &#x3c; &#x3e; &#x2f; &#x29;</span> <span class="visually-hidden">Erfüllt</span></dd>
  <dd class="ds-password__default-color"><span class="ds-icon-dot" aria-hidden="true"></span><span>mindestens 8 Zeichen</span> <span class="visually-hidden">Nicht erfüllt</span></dd>
</dl>

Required mit Button und Fehler

Label

Ein Fehler-Text

Ihr Passwort muss folgende Voraussetzungen erfüllen:: Groß- und Kleinbuchstaben Nicht erfüllt; mindestens eine Ziffer Erfüllt; mindestens ein Sonderzeichen ( ~ ! @ # $ % ^ & * ( ) - _ = + [ ] { } | ; : , . < > / ) Erfüllt; mindestens 8 Zeichen Nicht erfüllt

<label for="input-password-6" class="form-label">Label</label>
<div class="input-group input-group--composite">
  <input type="password" name="input-password-6" class="form-control is-invalid" id="input-password-6" pattern="(?=.*[a-zäöüß])(?=.*[A-ZÄÖÜ])(?=.*[0-9])(?=.*[~!@#$%^&*()\-\_=+\[\]{}|;:,.<>\/?]).{8,}" title="Input Password" required aria-describedby="input-password-6-error password-requirements-1">
  <button type="button" class="btn btn--secondary btn--icon-only input-group__btn--icon-only" aria-label="Passwort anzeigen" data-desy-password><span class="ds-icon-password-show" aria-hidden="true"></span></button>
</div>
<div class="invalid-feedback" id="input-password-6-error">
  <span class="ds-icon-error-circle-filled" aria-hidden="true"></span>
  <span>Ein Fehler-Text</span>
</div>
<dl class="form-text ds-password" id="password-requirements-1">
  <dt>Ihr Passwort muss folgende Voraussetzungen erfüllen:</dt>
  <dd class="ds-password__default-color"><span class="ds-icon-dot" aria-hidden="true"></span><span>Groß- und Kleinbuchstaben</span> <span class="visually-hidden">Nicht erfüllt</span></dd>
  <dd class="ds-password__green-color"><span class="ds-icon-check" aria-hidden="true"></span><span>mindestens eine Ziffer</span> <span class="visually-hidden">Erfüllt</span></dd>
  <dd class="ds-password__green-color"><span class="ds-icon-check" aria-hidden="true"></span> <span>mindestens ein Sonderzeichen &#x28; &#x7e; &#x21; &#x40; &#x23; &#x24; &#x25; &#x5e; &#x26; &#x2a; &#x28; &#x29; &#x2d; &#x5f; &#x3d; &#x2b; &#x5b; &#x5d; &#x7b; &#x7d; &#x7c; &#x3b; &#x3a; &#x2c; &#x2e; &#x3c; &#x3e; &#x2f; &#x29;</span> <span class="visually-hidden">Erfüllt</span></dd>
  <dd class="ds-password__default-color"><span class="ds-icon-dot" aria-hidden="true"></span><span>mindestens 8 Zeichen</span> <span class="visually-hidden">Nicht erfüllt</span></dd>
</dl>

Barrierefreiheit

Das zugeordnete Label eines Passwort-Inputs bildet den sogenannten „Accessible Name“ und wird von Screenreadern zusammen mit der Rolle des Elements vorgelesen. Daher muss dieses möglichst prägnant, beschreibend, aber auch kurz betextet sein.

Inputs vom Typ Passwort und ihr Umfeld müssen grundsätzlich so gestaltet sein, dass ein sichtbares Label angezeigt werden kann. Passwort-Regeln sind nicht Bestandteil des Labels.

Relevante BITV-Anforderungen

Weitere Attribute

disabled: Inaktive Elemente sind visuell deutlich als solche gekennzeichnet, z. B. wenn sie in der Applikationslogik aufgrund fehlender vorhergehender Auswahlen noch nicht aktiv sein können. Erwartetes Verhalten in gängigen Hilfsmitteln ist, dass diese nicht Bestandteil der Tab-Reihenfolge sind, aber mit den gängigen Vorlese-Methoden erkundet werden können.
readonly: Rein darstellende Elemente sind bereits serverseitig mit Daten befüllt, die nicht mehr editierbar sind. Im Gegensatz zu disabled-Feldern sind sie Bestandteil der Tab-Reihenfolge, somit fokussierbar und erhalten eine eigenständige Gestaltung, die ihren Zweck visualisiert.
minlength / maxlength: Bei Feldern mit Mengenbegrenzung wird das Erreichen des Maximums in verschiedenen Screenreader-/Browser-Kombinationen nur unzureichend akustisch ausgegeben. Dies stellt keinen Mangel im Sinne der BITV-Konformität dar. Bei der Festlegung von Mindest- und Maximallängen von Passwörtern müssen die entsprechenden Vorgaben des BSI zwingend beachtet werden.
autofocus: Von der Verwendung dieses Attributs zur automatischen Fokussierung von Formularelementen durch den Browser wird in den meisten Anwendungsfällen abgeraten. Begründete Ausnahmen kann es in Fällen geben, wenn eine Maske mit hoher Wahrscheinlichkeit genau diesen einen Zweck verfolgt, wie dies zum Beispiel bei einer Such-Seite der Fall sein kann.
accesskey: Das accesskey-Attribut darf in öffentlich zugänglichen Anwendungen nicht verwendet werden, da es signifikante Probleme in der Barrierefreiheit hervorruft. Weitere Informationen dazu finden Sie bei MDN accesskey.
tabindex: Das tabindex-Attribut darf nicht mit positiven Werten verwendet werden, sondern nur zum Fokusmanagement oder zur Herstellung der Tastaturbedienbarkeit von nicht auf Standardelementen basierten Widgets (tabindex="0" oder tabindex="-1"). Weitere Informationen dazu finden Sie bei MDN tabindex.

Testhinweise & Akzeptanzkriterien

Tastatur- & Maus-Bedienung:: Gemeinsam mit dem zugeordneten Label, fokussiert wird immer das Control, nicht das Label. Formularelemente reagieren grundsätzlich nur auf die Standard-Tasten bzw. -Tastenkombinationen der jeweiligen Betriebssysteme.
Sprachbedienung:: Der Sprachbefehl mit dem sichtbaren Label-Text fokussiert das zugeordnete Formularelement.
Zustände:: Default, Fokussiert.
Darstellung:: Der Schriftgrad kann Browser- oder Systemseitig um bis zu 200 % vergrößert werden, ohne dass Informationen verloren gehen. Bis zu 400 % müssen Inhalte so umbrechen, dass sie ohne horizontales Scrollen verfügbar sind.