Côté rédaction, je n’aime pas utiliser le terme « WebAuthn » ; je pense qu’il est déroutant pour les utilisateurs finaux. Utilisez plutôt « Clé de sécurité » ou quelque chose de similaire.
Je souhaiterais vivement éviter de même penser à l’authentification « Premier facteur / sans mot de passe » ici ; pour moi, nous devons déployer cette fonctionnalité et vivre avec pendant 3 à 4 mois avant même d’envisager cela.
Surtout, puisque nous prenons déjà en charge la connexion par e-mail, vous pouvez techniquement oublier votre mot de passe.
Je suis d’accord pour que le flux soit le suivant : si vous le pouvez, que vous disposez des API et d’une clé WebAuthn, essayez d’abord WebAuthn, mais offrez à l’utilisateur une issue de secours. Gardez également à l’esprit que vous pouvez avoir plusieurs appareils WebAuthn ; je suivrais ce que fait Google à ce sujet pour gérer cela (un lien « Choisir une autre option » ou quelque chose de similaire).
Une chose à laquelle je pense sur le long terme, dans un élément séparé : nous pourrions utiliser l’« application Discourse » pour la double authentification, ce qui serait plutôt cool @pmusaraj. Cela pourrait rendre la double authentification beaucoup plus répandue.