FIDO2 repose sur un mécanisme d'authentification sans mot de passe, qui implique des clés asymétriques (publique/privée).

La clé privée utilisée par FIDO2 n'est pas exportable, elle est stockée dans un matériel sécurisé (comme une clé de sécurité USB, un smartphone, ou une carte à puce) ou directement dans l'appareil via un module matériel sécurisé (comme une puce TPM).