Congratulazioni per il supporto WebAuthn! È interessante vedere che avete sviluppato una soluzione propria invece di utilizzare il gem webauthn. Se ci sono feedback per noi, sarei felice di ascoltarli 
Ho notato che nella vostra implementazione supporta solo l’algoritmo -7 (ES256), ma gli authenticator di piattaforma Windows Hello (supportati da hardware TPM 2.0) richiedono -257 (RS256) come indicato nella documentazione di Microsoft. Il TPM 2.0 è obbligatorio dal 28 luglio 2016 per i nuovi modelli desktop di Windows 10, quindi si tratta di una quantità di hardware non trascurabile.
Un suggerimento per il mockup del “Flusso di accesso”: WebAuthn dispone di un logo ufficiale che potrebbe essere utilizzato al posto di un’immagine generica dell’impronta digitale. Oltre all’impronta digitale, anche il riconoscimento facciale, lo schema di scorrimento o il PIN sono opzioni comuni di verifica dell’utente.