Aus Security Sicht gibt es an dem Verfahren nichts auszusetzen. Aber wie bei allen Dingen, gibt es immer mehrere Faktoren die wichtig sind. Wie verhält es sich bei Passkeys mit der Privacy?
Kann ich für jede Webseite ein Keypair erstellen? Kann ich die Keypair mit Open Source Software erstellen z.B. gpg und dann den public Teil selbst beim Service bekannt machen? Wenn die Keys in einem TPM gespeicht werden, dann wohl kaum, da es dort nur begrenzte Slots für Keys gibt. Der aktuelle YubiKey hat z.B. gerade mal einen Slot, soweit ich weiß.
Wenn es am Ende nur einen public Key gibt oder Google und Co die Keys generieren, dann stellt der public Key neben dem super sicherem Credential auch eine perfekte Werbe ID da. In einem Webenetzwerk kann man so einen Nutzer absolut perfekt und in nie dagewesener Präzision tracken. So wird vielleicht auch ein Schuh daraus, warum Google und MS (Werbe Unternehmen) hier viel Zeit und Geld investieren, um so was zu etablieren.