Aktivált Passwordless: jön a scammer, ezen a PHISHING oldalon add meg a jelszavadat. Amit ellopva próbál belépni. De nem fog tudni, mert NINCS jelszó!
FIDO U2F: küldi a kamu oldalra szóló linket, ahol elvileg gondolkodás nélkül bedugod a yubikey-t. Csak hát a domain nem match-el azzal, ami a passkey-ben szerepel, így nem fog beengedni (pontosabban: nem fogja átadni az auth adatokat a kamu-oldalnak).
Szerintem ezek nagyon jó dolgok. Csak hát kell hozzá a hardver key. Az OS-be (windows, mobil OS-ek) beépített secure key storage nem tudom mennyire lesz ezzel egyenértékű.