A kliensen a böngésző ellenőrzi, lévén a webauthn tokenhez hozzá tartozik a site aláírása, mint ssh-nál a host key. Ezt ha meg tudja hamisítani a támadó, akkor ott már jóval nagyobb a baj.
Nyilván az előfeltétel, hogy a token generálás az nem kompromittált módon menjen végbe, ugyanúgy mint kedvenc mobilodon az app regisztrálás.