W3C和FIDO联盟是一个技术产业联盟，正在开发一个新的无密认证API。这一名为WebAuthn的API正在进入“候选推荐”阶段，作为在标准正式通过之前征求意见的最后一次征集。

　　根据W3C文档，WebAuthn是一种常见的API，允许使用基于生物特征的身份验证，以及智能卡和USB令牌进行身份验证。同样，新宣布的客户端认证协议（CTAP）标准允许使用移动电话的指纹读取器登录到计算机上的Web服务。

　　对WebAuthn的支持计划纳入Fire fox60，计划于5月9日发布，以及Chrome67，计划于5月底或6月初发布。微软已承诺在Windows10的Edge浏览器中支持API，但该版本没有时间表。苹果没有提供任何支持Safari标准的迹象，尽管苹果员工是WebAuthn的工作组成员。

　　WebAuthn的标准化旨在取代谷歌和微软目前用于令牌登录的专有实现。通用标准的存在将简化无密码身份验证的部署和互操作性，因为开源代码可以导入到现有项目中，以便在应用程序中启用基于WebAuthn的身份验证。

　　该文件指出，WebAuthn是对以前的“通用认证因素”（UA F）标准的全面修订，该标准相对于人们使用技术的方式有一些缺点，例如，它缺乏如何与移动浏览器交互的明确规范。

　　采用无密码认证的最终目标是抑制网络钓鱼攻击，以及中间人攻击，以及依赖于重放捕获的网络包的攻击。

　　然而，采用生物识别认证方案并不是没有自己的批评者。虽然密码本质上是秘密的，即用户不告诉别人他们的密码，或者在一个很容易被发现的地方写下密码，但生物识别信息本质上是公开的。

　　例如，随着苹果Face ID的推出，人们经常担心未经设备所有者同意就可以使用生物鉴别技术。根据《华盛顿邮报》的一篇报道，虽然你不能被迫放弃密码，但在他们希望嫌疑人使用指纹解锁装置的案件中，法院在“合理怀疑”的基础上做出了有利于执法的裁决。此外，强迫使用面部识别来解锁设备在法律上是不明确的。

​　　从iOS11开始，苹果推出了一种故障保险，如果Home按钮连续按下5次，则强制输入密码，尽管该平台上的Face ID存在其他各种问题。一家越南安全公司去年11月用3D打印的面罩成功击败了保护，而Wired报告说，一名10岁的年轻人成功地使用Face ID解锁了他父母的两部iPhone。