En cuanto al texto, no me gusta usar el término «WebAuthn», creo que resulta confuso para los usuarios finales; mejor usa «llave de seguridad» o algo similar.
Me gustaría mucho evitar pensar en la autenticación de «primer factor» o «sin contraseña» en este momento; para mí, primero debemos lanzar esta función y trabajar con ella durante 3 o 4 meses antes de siquiera considerarlo.
Especialmente porque ya admitimos el inicio de sesión mediante correo electrónico, por lo que técnicamente el usuario puede olvidar su contraseña.
Estoy de acuerdo en que el flujo debería ser: si puedes y tienes las APIs y una llave WebAuthn, intenta WebAuthn primero, pero ofrece al usuario una opción de salida. Además, ten en cuenta que el usuario puede tener varios dispositivos WebAuthn; seguiría lo que hace Google al respecto (un enlace «Elegir otra opción» o algo similar).
Una cosa que considero a más largo plazo, en un ítem separado, sería poder usar la «aplicación de Discourse» para la autenticación de dos factores (2FA), lo cual sería bastante genial, @pmusaraj. Eso podría hacer que el uso de la 2FA sea mucho más ubicuo.