Dal punto di vista testuale, non mi piace usare il termine “Web Authn”; credo che possa confondere gli utenti finali. Meglio usare “Chiave di sicurezza” o qualcosa di simile.
Vorrei evitare anche solo di pensare a “autenticazione a primo fattore / senza password” in questo momento: per me, dobbiamo rilasciare questa funzionalità e conviverci per 3-4 mesi prima di prendere in considerazione altre opzioni.
Inoltre, dato che già supportiamo l’accesso tramite email, tecnicamente si può dimenticare la password.
Sono d’accordo sul fatto che il flusso dovrebbe essere: se puoi, hai le API e una chiave WebAuthn, prova prima WebAuthn, ma fornisci all’utente una via di fuga. Tieni anche presente che potresti avere più dispositivi WebAuthn; seguirei quanto fa Google per gestire questa situazione (ad esempio, un link “Scegli un’altra opzione” o qualcosa di simile).
Una cosa che penso a lungo termine, in un’attività separata, sarebbe poter utilizzare l’app “Discourse” per l’autenticazione a due fattori (2FA), il che sarebbe molto interessante @pmusaraj. Questo renderebbe l’uso del 2FA molto più diffuso.