漏洩した秘密鍵に対応する公開鍵をサービスがわで落とせばいいだけですね。このようなセキュリティイベント通知の仕組みを整備することも重要でしょう。
リカバリーコードもUSのサービスでよく使われていますが日本のサービスでは感覚が異なるのでそれを前提で話すのはどうかと思います。
Quote
Ryoichi @ シリコンバレーの資格マニア
@ryo1kato
なるほど、現在推進されてる共有鍵(?)方式のパスキーは、有効期限もなく漏出したら被害甚大なのに強制リセットできない。回復方法はパスワードに劣るリカバリーキーしかない。
また、マジックリンク廃止で、平均的ユーザはパスキー失うとアカウント回復手段がない。 x.com/ritou/status/1…