Una de las principales cosas que me sorprende acerca del nuevo estándar WebAuthn es el hecho de que estas claves biométricas o U2F reemplazan las contraseñas en lugar de complementarlas. ¿Por qué se hace esto y es seguro?
WebAuthn no reemplaza las contraseñas, usted decide si desea usar solo WebAuthn o password + WebAuthn.
WebAuthn simplemente estandariza los protocolos y las API para usar varios autenticadores basados en hardware (en su mayoría).
Es solo un efecto secundario que el uso del autenticador WebAuthn (token) puede eliminar la necesidad de contraseñas. Es por eso que a veces se anuncia como "asesino de contraseñas".
Además, WebAuthn no se limita a un factor, esto depende del autenticador utilizado. Casi siempre el autenticador proporciona un factor de "posesión", pero no se limita a eso y también se puede combinar con "conocimiento" y / o "inherencia".
Lea otras preguntas en las etiquetas web-application authentication