Contrairement aux anciennes procédures qui utilisaient un mot de passe, WebAuthn offre plusieurs avantages pour les utilisateurs et les fournisseurs de services Web. Mais c’est la facilité d’utilisation qui devrait surtout convaincre les internautes. L’information n’a en effet plus besoin d’être mémorisée. Cela s’accompagne également d’un gain important en termes de sécurité : l’utilisation de mots de passe n’est en effet sécurisée que sous certaines conditions. Ils peuvent être soit déchiffrés - avec une attaque par force brute ou avec les Rainbow Tables par exemple - ou bien les mots de passe sont piratés via l’hameçonnage (phishing). Avec WebAuthn, il n’y a pas de mot de passe qui peut être transmis ou dévoilé involontairement.
Étant donné que le nouveau standard ne transmet pas de données sur Internet, une attaque de l’homme du milieu, dans laquelle les données peuvent être exploitées pendant la transmission, n’est ici d’aucune utilité. La procédure de clé publique sécurise par chiffrement la transmission du certificat d’authenticité.
Le fait que toutes les données sensibles restent dans l’appareil de l’utilisateur est aussi un avantage pour les opérateurs de sites Web. Les fournisseurs de services qui exigent une inscription doivent actuellement investir beaucoup d’énergie et d’expertise dans la sécurisation des mots de passe et des noms d’utilisateur. Si les criminels réussissent à pénétrer dans les bases de données du fournisseur, cela peut alors être catastrophique. Les entreprises qui ne sont pas en mesure d’éviter une telle attaque seront confrontées à de graves conséquences, et les utilisateurs qui en sont victimes devront alors faire face à une utilisation frauduleuse et malveillante conséquente des données, surtout s’ils utilisent aussi ces données de connexion pour d’autres plateformes.
WebAuthn est également considéré comme plus sûr que l’authentification multifactorielle. Bien que la fonction d’identification complémentaire, qui est demandée lors de la connexion via MFA, offre une protection supplémentaire, elle n’est pas sans risque. Certaines fonctions d’authentification - comme un mot de passe unique par SMS - peuvent être interceptées relativement facilement. De plus, ces mots de passe à court terme sont également devenus des cibles privilégiées des attaques par hameçonnage (phishing). En outre, le Multi-factor authentification (MFA) est un processus relativement laborieux. WebAuthn fonctionne plus rapidement et est donc plus simple d’utilisation.
Il existe cependant des inconvénients si un nouvel « authentificateur » doit être enregistré pour un compte existant. Si par exemple, le token matériel (jeton d’authentification) est perdu, il vous en faut un nouveau. Ce nouveau token ne peut alors pas être facilement relié au profil existant, ce serait en effet un trop grand risque pour la sécurité. À la place, vous devez soit avoir un authentificateur de remplacement destiné à cet usage particulier, soit effectuer une réinitialisation. Ce processus est similaire à la réinitialisation d’un mot de passe et est particulièrement adapté aux services qui ne nécessitent pas un niveau de sécurité élevé.