Im Gegensatz zu älteren Maßnahmen, die auf ein Passwort gesetzt haben, ergeben sich mit WebAuthn gleich mehrere Vorteile für Nutzer und Anbieter von Webservices gleichermaßen. Besonders der Komfort dürfte Anwender überzeugen. Es müssen keine Informationen mehr auswendig gelernt werden. Damit einher geht auch ein großer Gewinn in puncto Sicherheit: Das Verwenden von Passwörtern ist schließlich nur bedingt sicher. Entweder sie lassen sich knacken (mit Brute Force oder Rainbow Tables beispielsweise) oder die Kennwörter werden per Phishing ausgespäht. Bei WebAuthn gibt es keine Passwörter, die ein Anwender unbedacht weitergeben kann.
Da bei dem neuen Standard keine Identitätsdaten über das Internet übertragen werden, bringt auch ein Man-in-the-Middle-Angriff, bei dem die Daten während der Übertragung abgegriffen werden könnten, nichts. Durch das Public-Key-Verfahren ist zudem die Übermittlung des Authentizitätszertifikats kryptografisch gesichert.
Dass alle sensiblen Daten im Gerät des Nutzers bleiben, ist gleichzeitig der Vorteil für Website-Betreiber. Anbietern von Diensten, die eine Anmeldung voraussetzen, müssen derzeit sehr viel Energie und Kompetenz in die Sicherung von Passwörtern und Benutzernamen stecken. Es ist fatal, wenn es Kriminellen gelingt, in die Datenbanken des Anbieters einzudringen. Auf Unternehmen, die einen solchen Angriff nicht abwenden können, kommen schwerwiegende Konsequenzen zu, und auch die leidtragenden Nutzer müssen mit erheblichem Datenmissbrauch rechnen – besonders dann, wenn sie die Anmeldedaten auch auf anderen Plattformen verwenden.
WebAuthn gilt überdies als sicherer als die Multi-Faktor-Authentisierung. Zwar bietet das zusätzliche Identitätsmerkmal, das beim Anmelden per MFA abgefragt wird, einen zusätzlichen Schutz, dies ist aber dennoch nicht komplett ohne Risiko. Manche Authentisierungsmerkmale – wie ein One-Time-Password per SMS – können relativ leicht abgefangen werden. Außerdem sind auch diese Kurzzeitpasswörter zu beliebten Angriffspunkten von Phishing geworden. Hinzu kommt: MFA ist ein relativ zeitaufwendiger Vorgang. WebAuthn funktioniert schneller und ist somit nutzerfreundlicher.
Nachteile ergeben sich allerdings dann, wenn ein neuer Authenticator für ein bestehendes Konto angemeldet werden muss. Wenn beispielsweise der Hardware-Token verloren geht, braucht man einen neuen. Dieser neue Token lässt sich dann nicht ohne weiteres mit dem bestehenden Profil verknüpfen – das wäre ein zu großes Sicherheitsrisiko. Stattdessen muss entweder ein Ersatz-Authenticator vorhanden sein, der genau für diesen Einsatz bestimmt ist, oder man muss einen Reset vornehmen. Letzteres entspricht etwa dem Zurücksetzen eines Passworts und ist vor allem für Dienste geeignet, die keinen hohen Sicherheitsstandard verlangen.