Het NCSC merkt op dat passkeys niet zonder risico's zijn. Zo kunnen passkeys (cross-device) worden gesynchroniseerd via bijvoorbeeld een cloud platform. Dit wordt soms gepresenteerd als een nieuw risico, maar de meeste mensen maken al gebruik van soortgelijke platforms voor het synchroniseren van wachtwoordmanagers, e-mail en authenticator-apps, zo laat het NCSC weten. Wat een kromme redenering: een risico is geen risico omdat gebruikers die risico's toch al lopen. Het risico is daarmee niet weg, Passkeys zijn gewoon ondingen. Er worden lock-ins gecreeerd (hetzijn bij de Google's/Apple's, hetzij bij online password managers). Als je eens in een (sandbox) omgeving zit waarbij het niet mogelijk is om de password manager plugin te gebruiken, dan kun je gewoon niet meer inloggen op zo'n site. Een ander veel gehoord kritiekpunt is dat passkeys geen echte multifactorauthenticatie zijn. Het NCSC stelt dat dit wel het geval is. Wanneer "user verification" onderdeel van de inlogprocedure is, is FIDO2-authenticatie ...