Bei allen Möglichkeiten sich bei 100erten von Diensten anzumelden ist der größte Horror für mich, dass meine Passwörter für die Dienste wegkommen und ich mich dort nicht mehr einloggen kann.
Passkey und Passwort schließen sich nicht gegenseitig aus. Selbst wenn du Passkey nutzt, wäre also auch bei verlorenem Gerät ein Login also weiterhin möglich. Insofern verlierst du durch Passkey erst mal nichts, sondern gewinnst nur eine zusätzliche Möglichkeit dich ggü. dem Dienst zu authentifizieren.
Und dieses Problem kann Passkey nicht so einfach lösen, wie versprochen, solange man es nicht mit einer (fremden) Cloud z.B der iCloud synchronisiert. Was wiederum das eigentliche Ziel ad absurdum führt, den Passkey möglichst sicher bei sich auf dem Gerät zu halten.
Ich frage mich, ob du Passkey wirklich konzeptionell verstanden hast. Bei Passkey muss es letztlich, ebenso wie beim Passwort, ein Fallback geben, wenn das Passwort oder die Passkey-Authentifizierungsmöglichkeit (z.B. Handy) nicht mehr verfügbar ist.
Wenn dein iPhone also plötzlich defekt ist und du es nicht mehr zum Authentifizieren nutzen kannst, gibt es folgende Möglichkeiten:
a) Du logst dich mit dem Passwort ein (außer der Anbieter bietet ausschließlich nur noch Passkey an).
b) Du authentifizierst dich auf einem anderen Gerät, auf welchem du dich als "du" authentifizieren kannst - z.B. dein iPad. Das unterscheidet sich also z.B. nicht zum Vorgehen, ob du nun per iPhone oder per Apple Watch im Supermarkt via ApplePay zahlst.
c) Du musst dich "sonstwie" neu authentifizieren (z.B. über eine eigene Anbieter-App oder was auch immer sich der Hersteller vorstellt). Letztlich kann das auch per "One-time-Passwort per Mail zusenden" gehen.
Du verliest also grundsätzlich erst mal nichts ggü. einem Passwort, sondern gewinnst den Vorteil dazu, dass der Account mit einem hochkomplexen Passwort gesichert werden kann (echtes Passwort und/oder Keypass-Schlüssel), der Login aber dennoch schnell, einfach und geräteübergreifend funktionieren kann, einfach nur durch Nutzung von z.B. FaceID.
Synchronisiert man aber Passkey nicht, bleibt das Problem mit einem defekten oder gestohlenem Gerät, auf dem der Passkey gespeichert ist.
Was genau ist dabei die Erkenntnis? Verlierst du den einzigen Schlüssel zu einem Dienst (vollkommen unabhängig, ob das nun ein Passwort, Passkey, Hardware-Dongle oder was auch immer ist), kommst du nicht mehr rein. Öhm, ja klar. Das ist aber kein Nachteil von Passkey, du gewinnst aber schon mal grundsätzlich eine Möglichkeit (siehe Ausführung oben).
Was wiederum heißt, ich muß ein zweites (drittes, viertes...) Gerät einrichten, um ein Backup zu haben.
Wenn du eine Absicherung haben willst, ja, klar. Aber das gilt nun mal für dein Passwort etc. ebenso. Wenn du das verlierst und keine Sicherung hast, hast du Pech.
Das nächste Problem, die Unterstützung für Passkey ist einfach nocht nicht so hoch, dass man es guten Gewissen auch Laien empfehlen kann. Man bräuchte auf alle Fälle noch zusätzlich einen Passwortmanager, für die Dienste, die Passkey nicht unterstützen.
Nein, da vermengst du zwei Themen miteinander. Man kann Passkey tendenziell eher empfehlen, weil die Leute dadurch auch dort ein hochkomplexes Passwort nutzen können, ohne sich dieses merken zu können.
Wenn sie darüber hinaus weitere Dienste nutzen wollen, die kein Passkey anbieten, bietet es sich vollkommen unabhängig davon an, hier einen Passwortmanager zu nutzen, um AUCH hier komplexe Passwörter zu nutzen.
So,.....aber was jetzt? Doch einen Passwortmanager? Oder mehrere?
Wozu mehrere? Das ist eine vollkommen unlogische Aussage.
Und wenn ja, einen Cloudbasierten (iCloud, Google, oder einen anderen mit Cloud Anbindung) oder einen, der die Passwörter auf dem Gerät in einer verschlüsselten Datei speichert, die ich dann eben sichere. Wenn ich dann diese in die Cloud sichere, wäre das egal, ohne mein Hauptpasswort kann das niemand entschlüsseln.
Das ist eine vollkommen losgelöste Diskussion. Sie zeigt aber grundsätzlich eher, dass es - entgegen deiner Aussage oben - eher sinnvoll wäre, einen "Laien" Passkey zu empfehlen, weil der seine Passwörter dabei nicht in die Hände eines Dritten legen muss.
Die Wahrscheinlichkeit, dass darüber hinaus ein lokaler Passwort-Safe eher mit einem "schlechten Passwort" gesichert wird ("Man muss das ja so oft eingeben, wenn sich einloggen will und ein Passwort aus dem Safe braucht..."), ist recht hoch. Oder glaubt jemand, dass die Nutzer für KeyPassX, 1Password etc. nun plötzlich ".Uk4K`*;d$q\pX"h" als Passwort nutzen?
Die meisten Masterpasswörter dürften damit, für einen Bruteforce-Angriff, wohl eher leichtes Opfer sein, wenn man wetten müsste..
Ich mache folgendes. Mein Hauptpasswortmanager ist Keepass. Hier habe ich ein sicheres Masterpasswort. Keepass legt eine verschlüsselte Passwortdatei an und diese sichere ich einerseits auf meiner privaten Cloud (NAS) aber auch über iCloud und früher auch über Google.
Und verzichtest damit auf ein essenzielles Sicherheitselement, was die Datenbank tatsächlich unbrauchbar machen würde: Eine Schlüsseldatei.
Für alles was für mich nicht lebensnotwendig ist, oder nicht kritisch, verwende ich den Passwortmanager von Firefox, und/oder den Schlüsselbund von Apple.
Gut, jeder wie er mag, aber ich habe noch nie verstanden, warum man da trennt, anstatt konsequent auf eine App zurück zu greifen.
Und alle drei Varianten sind so gesichert, dass ich sie bei Gerätewechsel, Defekt, oder Diebstahl wiederherstellen kann.
Und das hat schon gar nichts mehr mit Passkey zu tun.