Gostei da matéria 
Mais ainda não entendi como isso deixará tudo mais seguro. O aparelho tem algo armazenado, o servidor tem algo armazenado e nenhum dos dois trocam a exata informação que cada um tem (? 
)
Na questão facial antigamente conseguiam liberar com uma foto. Sei que já faz tempo.
Não me aprofundei muito nos detalhes técnicos, mas aparentemente é um esquema de chave pública/privada.
Resumidamente, no momento do cadastro da passkey, um par de chave pública e privada é criado, a chave privada fica armazenada no seu dispositivo, enquanto a chave pública fica no servidor. No momento do login, um token é gerado no smartphone, assinado com a chave privada, e enviado ao servidor, que consegue confirmar a legitimidade do token ao comparar a assinatura com a chave pública. Se estiver tudo certo, login liberado…
Eu gosto da ideia; mas me sinto vulnerável a algum uso indevido por pessoas próximas, digamos, que utilizem minha digital enquanto estou dormindo.
Acho que um misto entre passkeys e senhas tradicionais para algumas situações, como usos bancários, seria o ideal.
Investigação Discovery “Dormindo com o inimigo”
É um esquema de chave público/privada sim. How FIDO Works - Standard Public Key Cryptography & User Privacy