Mientras revisaba las especificaciones de Fido :
el servidor (que proporciona la aplicación / servicios web) necesita confiar en el agente de usuario para la autenticación fido local y, si es necesario, puede aplicar ciertas políticas "
No estoy seguro de a qué se traduce eso.
¿Cómo se establece la confianza? ¿No hay efectos secundarios que ahora la autenticación se realiza localmente en el usuario y no en el lado del servidor tradicionalmente?
Los servidores FIDO se conectan con el servicio de metadatos del autenticador, que tiene una "puntuación" para cada autenticador. La política puede ser el tipo de autenticador y las características que el autenticador le permite realizar. Para simplificar, el servidor puede decidir que se permitirán hasta 100 $ de transacción con un autenticador de PIN de 4 dígitos y para que la transacción sea más grande, se requiere un sensor de huellas digitales. El servidor aún verifica el cliente, pero en lugar de verificar su contraseña, verifica la firma criptográfica que el cliente genera después de que el dispositivo verifique la identidad del usuario.