Коли користувач реєструється на легальному сайті our.company.net/workspace, Автентифікатор отримує ідентифікатор 7bc4…2b9cdc. Автентифікатор створює у своїй пам’яті набір даних із ідентифікатором 7bc4…2b9cdc, обраним ім’ям користувача та генерує нову ключову пару.

Коли користувачу необхідно виконати автентифікацію, Автентифікатор отримує ідентифікатор сайту 7bc4…2b9cdc та шукає набір даних із відповідним ідентифікатором. Якщо набір знайдено, Автентифікатор використовує ім’я користувача та ключ для автентифікації. Власне під час Реєстрації в Автентифікаторі створюється нова ключова пара, а при Автентифікації, за допомогою створеного приватного ключу, виконується підпис випадкової послідовності, згенерованої сервером.

Фактично, Автентифікатор, використовує математичну операцію цифрового підпису. Принципова різниця у порівнянні із кваліфікованим електронним підписом полягає у тому, що для кожного серверу випадковим чином генерується унікальна ключова пара, відкритий ключ передається лише цьому серверу, а сервер, можна казати, «сертифікує» цей відкритий ключ лише для себе.

То ж, особа, що моніторить доступ до сайтів, не може пов’язати між собою вхід того самого клієнту на два різних сайти. Так захищається приватність.

Тепер розглянемо, що трапляється, коли користувач отримує фішингове посилання. У цьому випадку Автентифікатор не знаходить ідентифікатор 19e8…2113e6 серед відомих, та створює новий набір даних. Таким чином не стається розголошення облікових даних. Саме тому FIDO автентифікатори називають стійкими до фішингу.