Как пользоваться webauthn без брелока

Чтобы иметь возможность использовать softtoken в Firefox, вы должны включить его и отключить usbtoken:

security.webauth.webauthn_enable_softtoken=true
security.webauth.webauthn_enable_usbtoken=false

Затем вы можете протестировать на https://webauthn.bin.coffee/ и https://webauthn.io/.

Однако я понятия не имею, как именно он работает и где находится его документация.

Что касается вопроса, как использовать Webauthn, то это должно быть возможно в соответствии со стандартом, но если браузеры поддерживают, это другое дело. Проверьте этот комментарий: https://github.com/w3c/webauthn/issues/1027#issuecomment-411441722

Спецификация действительно написана с использованием аппаратных аутентификаторов (внешних или встроенных) в качестве основной проблемы, но WebAuthn никоим образом не запрещает интеграцию чисто программных аутентификаторов.

...

Браузеры или плагины для браузеров вполне могут обеспечивать поддержку программных аутентификаторов, хотя WebAuthn не предоставляет для этого стандартизированного API.

Что ж, WebAuthn развивает технологии. Поддерживается только в браузерах Firefox / Chrome Desktop и Chrome Mobile.

Вам понадобится кое-что из U2F, например https://www.yubico.com/products/yubikey-for-mobile/
или надстройки, такие как https://krypt.co/

Сейчас Webauthn довольно широко поддерживается и работает в современных браузерах без роумингового аутентификатора (USB-устройства или аналогичного). Проверить на упомянутом вами сайте очень легко: https://webauthn.io/

https://caniuse.com/#search=webauthn