Wir brauchen endlich Pubkey-Authentication im Web.
Das Problem der shared secrets ist eben, dass sie auf beiden Seiten gespeichert werden müssen. Das bedeutet, dass nun beide Seiten angreifbar werden, die Angriffsoberfläche ist einfach größer.
Als Gegenmaßnahme gibt es seit über 40 Jahren die Technologie der Pubkey-Authentication. Die ist völlig ausgereift, und in Form von etwas unglücklich implementierten Client-Zertikaten im Browser schon implementiert. Man könnte auch eine bessere Implementierung einbauen und über das W3C standardisieren, aber anscheinend hat die Absicherung gegen Datendiebstahl keine Priorität.
Dabei sind 2 der verbliebenen 3 Browserhersteller selbst dick im Cloudgeschäft, und sollten ein Interesse dran haben, Sicherheit zu bieten.