Depende de o que substitui. Biometria como único fator é arriscada
por 3 motivos:
-
Não dá pra revogar. Senha vazada você troca. Template biométrico
vazado fica registrado pra sempre — e biometria é o único dado de
autenticação que você não consegue mudar. -
Coação. Pessoa pode ser obrigada a desbloquear (jurisprudência
nos EUA já trata diferente de senha; biometria pode ser exigida
mesmo contra vontade em alguns casos). -
Qualidade do sensor varia muito. FaceID com TrueDepth (3D,
liveness, infravermelho) é uma coisa. Foto frontal 2D em laptop
genérico é outra. Mesmo "biometria" do lado do produto.
O padrão certo pra web não é "biometria substitui senha". É
WebAuthn/Passkey, onde o sensor biométrico só desbloqueia uma
chave privada que fica no dispositivo. O servidor nunca vê
biometria. Se o dispositivo for roubado, atacante ainda precisa
do biométrico do dono.
Site que aceita biometria diretamente sem 2FA tá quase sempre
implementando errado, usando o sensor pra UX e não pra segurança
real.