Mentre seguivo le specifiche Fido :
the server (providing web app/services) need to trust user agent for local fido authentication and if needed can enforce certain policies"
Non sono sicuro di cosa si traduca.
Come viene stabilita la fiducia? Non ci sono effetti collaterali che ora l'autenticazione viene eseguita localmente a livello utente piuttosto lato server tradizionalmente?
I server FIDO si connettono con il servizio di metadati autenticatore che ha un "punteggio" per ciascun autenticatore. La politica può essere il tipo dell'autenticatore e le funzionalità che l'autenticatore consente di eseguire. Per rendere la cosa semplice, il server può decidere che fino a 100 $ di transazione sarà consentita con l'autenticazione PIN a 4 cifre e per un sensore di impronte digitali di transazione più grande è richiesto. Il server verifica ancora il client ma, invece di verificarlo, verifica la firma crittografica che il client genera dopo che il dispositivo verifica l'identità dell'utente.