>> WebAuthn не привязан к конкретному провайдеру
> Т.е. если условно все сервера гугла лягут, webauthn останется работать?
> А соответствие отпечатка пальца паролю на сайте хранится у юзера в браузере?
> Если так, то это хорошая новость.На первый вопрос - да
На второй - биометрия и webauthn напрямую (в общем случае, т.к. в теории стандарт признает такую вещь и в перспективе может сообщать сайтам была ли проверена биометрия перед посылкой ответа на webauthn запрос) не связаны, это распространенное заблуждение. Ваши отпечатки "хранятся" у вас в ОС (Андроид, Виндоус и т.д.). В случае с платформенной (НЕ с помощью USB\NFC токенов) аутентификацией закрытый ключ тоже хранится в ОС или SecureElement где-то в железе. Вы отпечатком подтверждаете ОС что Вы - это Вы, а она ключем подписывает ответ на запрос сайта на авторизацию. Как-то так. Браузер НЕ хранит ни биометрию ни ключи.
П.С.
Вот эти все сканеры отпечатков что продают китайцы "для FIDO" они к самому FIDO прямого отношения не имеют. Есть однако НЕКОТОРЫЕ USB-токены (Feitian делает например) у которых вместо кнопочки которую надо нажимать реально сканер отпечатков, причем отпечатки хранятся в самом токене (и ключ - там же) и сверкой отпечатка занимается сам токен независимо от ОС. Если сверка не удается то "кнопочка не нажимается". Кстати, для хохмы, заливка в токен отпечатков только спец приложением для Windows, рукалицо.
В общем, нагородили...