La communication via CTAP suit un certain modèle. Tout d’abord, le navigateur (ou tout autre logiciel responsable) se connecte à l’authentificateur et lui demande des informations. Le système détermine l’option d’authentification proposée par le périphérique externe. Sur la base de ces informations, le système peut alors envoyer une requête à l’authentificateur. L’authentificateur envoie alors une réponse ou un message d’erreur si la requête ne correspond pas aux capacités du périphérique.
Avec cette méthode, les données d’authentification, comme par exemple une empreinte digitale, ne quittent jamais la zone d’accès de l’utilisateur. Les données sensibles restent donc dans le système. Le navigateur n’envoie qu’une confirmation par WebAuthn que l’accès est bien conforme et règlementaire. Cette transmission s’effectue à son tour par le biais d’une procédure à clé publique. Les attaques de l’homme au milieu ne sont donc ici pas possibles. Les attaques de phishing (hameçonnage) deviennent également inutiles avec CTAP, WebAuthn et FIDO2. En effet, si les internautes n’ont plus à fournir de mots de passe et de noms d’utilisateur, ces derniers ne peuvent pas être interceptés et piratés par des hackers.