Una delle cose principali che mi sorprende del nuovo standard WebAuthn è il fatto che queste chiavi biometriche o U2F sostituiscono le password invece di integrarle. Perché è fatto, ed è sicuro?
WebAuthn non sostituisce le password, sta a te decidere se vuoi utilizzare solo WebAuthn o password + WebAuthn.
WebAuthn standardizza semplicemente i protocolli e le API per l'utilizzo di vari autenticatori (principalmente) basati sull'hardware.
È solo un effetto collaterale che l'uso dell'autenticatore WebAuthn (token) può rimuovere la necessità di password. Ecco perché a volte viene pubblicizzato come "password killer".
Inoltre, WebAuthn non è limitato a un fattore, questo dipende dall'autenticatore utilizzato. Quasi sempre l'autenticatore fornisce il fattore "possesso", ma non è limitato a questo e può anche essere combinato con "conoscenza" e / o "ereditarietà".
Leggi altre domande sui tag authentication web-application