@laotang Bei Passkeys sieht das Protokoll vor, dass die Geheimnisse nicht nur auf der lokalen Seite liegen (HW/SW ist egal).
Der Serviceprovider vom Passkeys entscheidet, ob er sich die Geheimnisse holt oder nicht. Der Client kann es nicht verhindern. Und die Clients müssen - im Gegensatz zu FIDO2 - auch nicht so gestaltet sein, dass die Geheimnisse gegen Auslesen geschützt werden.
Geht also mehr in die Richtung "Zentralschlüssel liegt unter der Fußmatte" und ich vertraue allen Passanten.