Nur ein Versuch das Verfahren mit simplen Worten zu beschreiben:
Es existiert ein Schlüsselplar, wovon einer beim Anbieter, der public key, und der andere beim Endgerät, der private key, landet. Den public key kann man sich wie einen Zylinder mit hochkomplexer Kodierung vorstellen. Er ist einzigartig.
Der private key ist der zum obigen Zylinder passende, ebenfalls einzigartig und komplexe Schlüssel. Nur wenn dieser Schlüssel im Zylinder steckt, wird das Tor freigeschaltet.
Zur Erhöhung der Sicherheit sind sowohl Zylinder als auch Schlüssel kryptografisch verschlüsselt. Zur weiteren Erhöhung der Sicherheit wird der Schlüssel, also der private key, in ein Tresor gepackt. Dieser Tresor ist dein Endgerät. Zusätzlich ist dieser Tresor jetzt noch durch den Tresorcode geschützt -> PIN, Passphrase, Fingerabdruck etc.
Wenn ihr also die Gesichts- oder Fingerabdruckerkennung benutzt, dann nutzt ihr das nur zum Öffnen eures privaten Tresors, damit ihr Zugang zu eurem Schlüssel bekommt, sodass dieser in den beim Anbieter befindlichen Zylinder reingesteckt werden kann. Nach Öffnen des Tores ist euer Tresor wieder geschlossen.
Wenn jemand bei deinem Anbieter einbricht, dann bekommt er nur den Zylinder, in dessen Profil bzw. Kodierung er nicht "reinblicken" kann, weil verschlüsselt.
Wird hingegen dein Tresor gestohlen, braucht der Dieb auch den Tresorcode. D.h. ein Dieb braucht dann sowohl den Tresor, also auch dein Gesicht, deinen Finger oder deinen Code, um Zugang zu erhalten.
Wie so vieles im Leben gibt es keine Vorteile ohne Nachteile. Jedes Verfahren hat seine Eventualitäten und Tücken. Die eierlegende Wollmilchsau gibt es nicht, weil man letzten Endes bei jedem Fahren das schlimmste Szenario ausmalen kann, um es dann als "unsicher" bewerten zu können.
