登場人物は以下になります。
・サイト(質問者様以外の誰かの所有物であり、ネットワークの向こう側にあります)
・スマホ(質問者様の所有物であり、質問者様の手元にあります)
・質問者様
先ず、パスワードです。
・質問者様はパスワードを知っています。
・スマホは何も知りません。
・サイトはパスワードを知っています。
・サイトは「パスワードを寄越せ」とネットワークを中継して要求します。
・スマホはその要求をそのまま質問者様に伝えます。
・質問者様はパスワードを入力します。
・スマホはそのパスワードをそのままネットワークを中継して教えます。
・サイトは受け取ったパスワードが、知っているパスワードと同じか調べます。同じなら受理、違ったら拒否します。
次に、パスキー認証におけるPINです。
・質問者様はPINを知っています。
・スマホはPINと復号鍵を知っています。
・サイトは暗号鍵を知っています。
・サイトはランダムな数を生成して、憶えておきます。
・サイトは憶えているランダムな数を、暗号鍵で暗号化します。
・サイトは「暗号化されたランダムな数を復号してみやがれ」とネットワークを中継して要求します。
・スマホは送られてきた暗号化されたランダムな数を受け取ったら、質問者様に「PINコードを入力してください」とスマホ単独で要求します。
・質問者様はPINコードを入力します。
・スマホは、入力されたPINコードが知っているPINコードと同じか調べます。同じなら受理、違ったら拒否します。
・スマホはPINコードを受理したら、さきほど送られてきた暗号化されたランダムな数を復号鍵で復号化(正しくは平文化と云います)して、ネットワークを中継してサイトに「復号してやったぞ」と送り返します。
・サイトは送り返されてきた復号化されたランダムな数が、憶えているランダムな数と同じか調べます。同じなら受理、違ったら拒否します。
パスワードは、そのままの状態でネットワークを流れていきます。誰かが盗聴していたらパスワードは盗まれてしまいます。そしてなりすましをされてしまいます。
パスキー認証に於けるPINは、ネットワークを流れることはありません。さらに言うと、パスキー認証に於いてネットワークを流れる情報は、毎回異なるランダムな数と、それを暗号化した暗号文だけです。その暗号文を盗聴されても復号はできないでしょうし、万一復号されたとしてもそれは意味の無いランダムな数でしかありません。しかもその数は次回以降使われることが(普通は)あり得ません。なのでなりすましに使うこともできません。
パスワードは、質問者様に対してサイトが実施する認証です。
パスキー認証に於けるPINは、質問者様に対してスマホが実施する認証です。さらにスマホに対してサイトが実施する認証が、パスキー認証になります。