Ano, třeba. Samozřejmě ne tak příšerně jak je to dneska implementované v prohlížečích. Já nevidím důvod proč se musí posílat heslo formulářem a ne podepsaná challenge (pokud jó nechceš mít klíč někde fyzicky, tak může být odvozený on-demand z master hesla osoleného doménou té stránky aby byl pokaždé jiný).