Názor k článku Postřehy z bezpečnosti: další a další zranitelnosti produktů Ivanti od RRŠ - Neposkytoval, proto si to aplikace řešily po svém....

Neposkytoval, proto si to aplikace řešily po svém. ;o)
Ostatně, pokud vím, tak ještě v Androidu 7 to tak úplně obvykle používáno nebylo. (Ale to jen odhaduji, tahle zařízená se mi dostala do ruky až později.) Každopádně jsem provozoval zařízení s Android 9 bez TPM - a bankovní ověřovací aplikace na tom funguje.
S tím klíčem máte pochopitelně pravdu. Ale právě to, že klíč je uložen v bezpečném úložišti má garantovat, že máte to konkrétní zařízení, kterým můžete k účtu přistupovat. (Alias faktor něco mít.)
A aby to nebylo tak jednoduché, tak si některé banky usnadňují život tím, že nepřipustí mít dvě různá zařízení (pochopitelně s různými klíč, nikoliv jedním rozkopírovaným­...!).