Session Timeouts: La barrera de accesibilidad que se pasa por alto en el diseño de autenticación — Smashing Magazine

10 min de lecturaAccesibilidad,
Diseño,
Usabilidad,
UX

Los timeouts de sesión gestionados de forma deficiente son más que una molestia técnica. Pueden convertirse en barreras serias de accesibilidad que interrumpen tareas esenciales en línea, especialmente para personas con discapacidad. A continuación, te explicamos cómo implementar una gestión de sesión reflexiva que mejore la usabilidad, reduzca la frustración y ayude a crear una web más accesible y respetuosa.

Para los profesionales web, la gestión de sesiones es un ejercicio de equilibrio entre la experiencia de usuario, la ciberseguridad y el uso de recursos. Para las personas con discapacidad, es algo más que eso: es una barrera para comprar entradas digitales, desplazarse por redes sociales o solicitar un préstamo en línea. La accesibilidad de los timeouts de sesión puede marcar la diferencia entre un mal día y un buen día para quienes viven con una discapacidad.

Para muchos, es una experiencia habitual: ir avanzando a medias en un formulario importante y, de repente, ser expulsados sin contemplaciones de vuelta a la pantalla de inicio de sesión. Estos incidentes pueden llevar a la exasperación e incluso al abandono total del sitio web. Con un poco de trabajo en el backend, los profesionales web pueden asegurarse de que nadie tenga que experimentar esa frustración.

Por qué los timeouts de sesión afectan de forma desproporcionada a las personas con discapacidad

Una parte considerable de la población mundial tiene discapacidades cognitivas, motoras o de visión. En todo el mundo, alrededor de 1.300 millones de personas tienen discapacidades significativas. Ya sea que tengan discapacidades motoras, cognitivas o visuales, sus limitaciones afectan su capacidad para interactuar con la tecnología con facilidad. Todas pueden verse afectadas de manera desproporcionada por los timeouts de sesión, lo que convierte la accesibilidad de los timeouts de sesión en un tema crítico.

Los timeouts de sesión son inaccesibles para un porcentaje grande de la población. Se estima que el 20% de las personas son neurodivergentes, lo que significa que las barreras por timeout no afectan solo a un grupo pequeño de usuarios: impactan a una parte sustancial de la audiencia de cualquier sitio web. Como resultado, algunos usuarios pueden parecer inactivos cuando en realidad no lo están. Los timeouts estrictos generan una presión indebida.

Discapacidades motoras y velocidades de entrada más lentas

Por ejemplo, alguien con parálisis cerebral intenta comprar entradas en línea para un concierto próximo. Debido a dificultades de coordinación y rigidez muscular, puede introducir su información más lentamente que una persona sin discapacidad. Selecciona la fecha, elige sus asientos y completa la información personal. Antes de que pueda introducir los datos de su tarjeta de crédito, aparece un pop-up de timeout. Le han cerrado la sesión por “inactividad” y debe reiniciar todo el proceso.

Esta situación no es del todo hipotética. Matthew Kayne es un defensor de los derechos de las personas con discapacidad, presentador y colaborador de la revista europea The European. Describe el esfuerzo necesario para navegar sitios web siendo una persona con parálisis cerebral. Explica cómo, a menudo, la interfaz de usuario está mal diseñada para dispositivos adaptativos, y le preocupa que su equipo no responda correctamente. Tras navegar con cuidado por cada página, de repente lo desconectan. En un instante, un solo formulario con tiempo puede borrar horas de trabajo, y no se trata solo de una cuestión de incomodidad. Un intento fallido puede retrasar el soporte o hacer que pierda citas.

Las discapacidades motoras pueden ralentizar la velocidad de entrada, haciendo que parezca que el usuario no está frente al ordenador. Por ello, las personas que experimentan rigidez, temblores en las manos, dificultades de coordinación, movimientos involuntarios o debilidad muscular se ven afectadas de manera desproporcionada por los timeouts de sesión. Según el DWP Accessibility Manual, puede llevar varios intentos a la tecnología adaptativa para registrar la entrada, lo que ralentiza considerablemente a los usuarios. Incluso si reciben una advertencia, puede que no sean capaces de actuar lo bastante rápido como para demostrar que siguen activos.

Discapacidades cognitivas y tiempo de procesamiento

Los timeouts de sesión también pueden crear barreras de accesibilidad para personas con distintos tipos de diferencias cognitivas. Los timeouts estrictos pueden generar una presión indebida que asume que todos procesan la información a la misma velocidad. Los usuarios pueden parecer inactivos cuando en realidad están leyendo, pensando o procesando.

Las diferencias cognitivas abarcan una amplia gama de experiencias, incluyendo neurodivergencias como el autismo y el TDAH, discapacidades del desarrollo como el síndrome de Down, y discapacidades de aprendizaje como la dislexia. Muchas personas nacen con diferencias cognitivas. De hecho, se estima que el 20% de las personas son neurodivergentes, lo que constituye una parte importante de la audiencia de cualquier sitio web. Otras adquieren discapacidades cognitivas más adelante en la vida a través de una lesión cerebral traumática o condiciones como la demencia.

Las personas con discapacidades cognitivas a menudo necesitan más tiempo para completar tareas en línea, no porque exista algún déficit, sino porque procesan la información de manera diferente. Las decisiones de diseño que funcionan bien para usuarios neurotípicos pueden crear obstáculos innecesarios para personas con TDAH, dislexia, autismo o condiciones relacionadas con la memoria.

Los timeouts de sesión invisibles son especialmente problemáticos para quienes experimentan pérdida de memoria, diferencias en el procesamiento del lenguaje o “ceguera temporal”. Por ejemplo, la líder tecnológica neurodivergente Kate Carruthers afirma que el TDAH ha afectado su percepción del tiempo. Tiene ceguera temporal y no puede seguir con fiabilidad cuánto tiempo ha pasado, por lo que las estimaciones no le resultan útiles.

Cuando los sitios web dependen de que los usuarios estimen el tiempo restante antes de que expire una sesión, excluyen silenciosamente a las personas: no solo a quienes tienen diagnósticos formales de TDAH, sino a cualquiera que experimente el tiempo de manera distinta o procese la información a un ritmo diferente.

Discapacidades de visión y la carga de navegación con lectores de pantalla

Como las personas ciegas o con baja visión no pueden escanear visualmente una página para encontrar lo que necesitan, deben escuchar los enlaces, los encabezados y los campos de los formularios; esto, por definición, consume más tiempo. Más de 43 millones de personas en todo el mundo están afectadas por la ceguera, mientras que 295 millones tienen una discapacidad visual moderada o severa, lo que convierte este tema en una preocupación importante de accesibilidad para cualquier sitio web orientado a usuarios globales.

Como resultado, es posible que la sesión de estos usuarios expire incluso si están activos. Los temporizadores en vivo y las advertencias de 30 segundos ayudan poco, ya que no se han diseñado pensando en los lectores de pantalla.

Bogdan Cerovac, un desarrollador web apasionado por la accesibilidad digital, lo vivió en primera persona. El temporizador de cuenta atrás le indicaba cuánto tiempo le quedaba antes de que lo cerraran por inactividad. Por lo que se ve, funcionaba bien. Sin embargo, describe la experiencia con lector de pantalla como horrible, porque le notificaba el tiempo restante cada segundo. No podía navegar la página porque recibía un aluvión de mensajes de estado constantes.

Patrones comunes de timeout que no cumplen los requisitos de accesibilidad

Según el Instituto Nacional de Estándares y Tecnología (NIST), la gestión de sesiones es preferible a conservar continuamente las credenciales, lo que incentivaría a los usuarios a crear soluciones alternativas de autenticación que podrían poner en riesgo la seguridad. Sin embargo, varios patrones comunes de timeout no cumplen con los estándares modernos para la accesibilidad de timeouts de sesión.

Fuente de la imagen: princekwame. (Vista previa grande)

Timeouts silenciosos y advertencias insuficientes

Muchos sitios web no ofrecen ninguna advertencia antes de cerrar la sesión, o muestran un breve pop-up de apenas unos segundos que aparece demasiado tarde para que sea accionable. Para usuarios que navegan mediante lector de pantalla, estas advertencias pueden no anunciarse a tiempo. Para quienes tienen discapacidades motoras, una cuenta atrás de 30 segundos puede no proporcionar tiempo suficiente para responder.

Pensemos en la página DS-260 del Consular Electronic Application Center, que se utiliza para solicitar o renovar visados de no inmigrante de EE. UU. Si una solicitud permanece inactiva durante alrededor de 20 minutos, el sistema desconectará al usuario sin avisar. La página de preguntas frecuentes solo ofrece una estimación aproximada del tiempo. El trabajo de una persona solo se guarda cuando completa la página, así que puede perder un progreso significativo.

Sesiones no ampliables

Un mensaje abrupto de “sesión expirada” es frustrante incluso para personas sin discapacidad. Si no existe la opción de continuar, los usuarios se ven obligados a iniciar sesión de nuevo y reiniciar su trabajo, desperdiciando tiempo y energía.

Pérdida de datos del formulario al expirar

A menos que el sitio web guarde automáticamente el progreso, los visitantes lo perderán todo cuando la sesión expire. Para una persona con discapacidad, esto no solo desperdicia tiempo. Puede hacer que su día sea, literalmente, mucho más difícil. Imagina dedicar una hora a una solicitud de servicio, una solicitud de empleo o una orden de compra, solo para que todo el progreso se borre por completo con poca o ninguna advertencia.

Patrones de diseño que equilibran seguridad y accesibilidad

Los periodos de timeout inconsistentes y la falta de advertencias conducen a una pérdida repentina e inesperada de todo el trabajo no guardado. En formularios largos y complejos, como el DS-260, una mala experiencia de usuario resulta extremadamente frustrante. En comparación, la solicitud del Reino Unido para el pension credit es altamente accesible. Advierte a los usuarios al menos dos minutos antes y les permite ampliar la sesión. Cumple el nivel AA de los criterios de éxito de WCAG 2.2, lo que indica que es accesible.

Fuente de la imagen: Experience League. (Vista previa grande)

Las personas con discapacidad se ven afectadas de manera desproporcionada por las consecuencias no intencionadas de una gestión de sesiones deficiente. Afortunadamente, la inaccesibilidad de los timeouts de sesión no es un hecho inevitable. Con algunos cambios pequeños, los profesionales web pueden mejorar de forma significativa la accesibilidad de su sitio.

Sistemas de advertencia anticipada y ampliación de funcionalidad

Los sitios web deberían indicar claramente la existencia y la duración del límite de tiempo antes de que comience la sesión. Por ejemplo, si alguien está completando un formulario bancario, la primera página debería existir únicamente para informarle de que tiene un límite de 60 minutos. Un contador en vivo que se actualice con regularidad puede ayudarles a seguir cuánto tiempo queda. Además, se debe informar a los usuarios si pueden ajustar la duración del timeout de la sesión.

Timeouts basados en actividad vs. timeouts absolutos

Un timeout basado en actividad cierra la sesión debido a la inactividad, mientras que un timeout absoluto la cierra independientemente de la actividad. Para una oficina, un temporizador absoluto de 24 horas podría tener sentido, ya que los trabajadores solo necesitan iniciar sesión cuando llegan al trabajo. Mientras los usuarios sepan cuándo expirará su sesión, el segundo enfoque es más accesible que el primero.

Guardado automático y preservación del progreso

Las cookies, localStorage y sessionStorage son mecanismos temporales de almacenamiento del lado del cliente que permiten a las aplicaciones web guardar datos durante la duración de una sola sesión del navegador. Son herramientas potentes y ligeras. Los desarrolladores web pueden usarlas para guardar automáticamente el progreso de los usuarios en intervalos frecuentes, asegurando que los datos se restauren al volver a autenticarse.

De esta manera, incluso si la sesión de alguien expira por accidente, no será penalizado. Cuando inicien sesión de nuevo, podrán terminar de introducir los datos de su tarjeta de crédito o retomar donde lo dejaron con un formulario en línea.

Consideraciones de pruebas y cumplimiento con WCAG

Las Web Content Accessibility Guidelines (WCAG) son un conjunto de estándares internacionales de accesibilidad web aceptados, publicados por el W3C. Actúan como árbitro para la accesibilidad de los timeouts de sesión. Los desarrolladores web deberían prestar especial atención a la Guía 2.9.2, que describe las mejores prácticas para contar con tiempo suficiente.

El mecanismo ajustable del timeout debería ampliar el límite de tiempo antes de que la sesión expire o permitir desactivarlo por completo. Para la primera opción, debería aparecer un cuadro de diálogo preguntando a los usuarios si necesitan más tiempo, permitiéndoles continuar con un solo clic. El WC3 señala que existen excepciones.

Por ejemplo, cuando un sitio web realiza una venta de entradas en vivo, los usuarios solo pueden mantener las entradas en sus carritos durante 10 minutos para darles a otras personas la oportunidad de comprar inventario limitado. Alternativamente, puede que los timeouts de sesión sean necesarios en ordenadores compartidos. Si las bibliotecas permitieran que todos permanecieran conectados en lugar de desconectarlos automáticamente durante la noche, se arriesgarían a problemas de seguridad.

Algunos procesos no deberían tener límites de tiempo en absoluto. Al navegar por redes sociales, leer un artículo de noticias o buscar elementos en un sitio de comercio electrónico, no hay razón para que una sesión expire dentro de un marco arbitrario. Mientras tanto, en un examen con tiempo, puede ser necesario. Sin embargo, en ese caso, los administradores pueden ampliar los límites de tiempo para estudiantes con discapacidades.

Cuando los desarrolladores web hacen que la gestión de sesiones sea accesible, no están atendiendo a un grupo pequeño. Los datos del Pew Research Center muestran que el 62% de los adultos con discapacidad posee un ordenador. El 72% tiene internet de alta velocidad en casa. Estas cifras no difieren estadísticamente del porcentaje de adultos sin discapacidad que dicen lo mismo.

Superar la barrera de accesibilidad de los timeouts de sesión

La WCAG ofrece recursos adicionales que los desarrolladores web pueden revisar para comprender mejor la accesibilidad de la gestión de sesiones:

• WCAG SC 2.2.1 Timing Adjustable
• WCAG SC 2.2.5 Re-authenticating
• WCAG SC 2.2.6 Timeouts

Además de seguir estas directrices, existe una gran cantidad de información por parte de instituciones educativas líderes, autoridades en tecnologías web abiertas y agencias gubernamentales. Proporcionan un excelente punto de partida para quienes tienen conocimientos intermedios de desarrollo web.

Los profesionales web deberían considerar los siguientes recursos para aprender más sobre herramientas y técnicas que pueden usar para hacer que la gestión de sesiones sea más accesible:

• La técnica de extensión de sesión de la Universidad de Harvard
• Manual de accesibilidad del DWP: Cómo probar los timeouts de sesión
• Window: sessionStorage property

La accesibilidad de los timeouts de sesión no es solo una buena práctica del sector, sino un estándar ético de desarrollo web.

“Quienes lo prioricen atraerán a una audiencia más amplia, mejorarán la usabilidad y conseguirán más visitantes al sitio web y sesiones más largas.

La idea principal es que un sitio con timeouts de sesión inaccesibles envía un mensaje claro de que no valora el tiempo ni el esfuerzo del usuario, un problema que crea barreras significativas para las personas con discapacidad. Sin embargo, se trata de un problema solucionable. Con unos pocos cambios simples, como proporcionar advertencias de extensión de sesión y guardar automáticamente el progreso, los desarrolladores web pueden construir una internet más considerada, accesible y respetuosa para todos.

Lecturas adicionales en Smashing

“What Does It Really Mean For A Site To Be Keyboard Navigable”, Eleanor Hecks
“Designing For Neurodiversity”, Vitaly Friedman
“What I Wish Someone Told Me When I Was Getting Into ARIA”, Eric Bailey
“A Designer’s Accessibility Advocacy Toolkit”, Yichan Wang

(yk)