Präambel: Bei einem Anmeldeverfahren geht nicht einfach darum maximale Sicherheit zu erzielen, diese ist bei einem nicht verwendeten Dienst oder bei einem bei dem man das Passwort im Meer versenkt, immer am höchsten. Ein Sicherheitskonzept, dass Nutzerbedürfnisse ignoriert und deshalb aus Bequemlichkeit oder Ungeschick vom Nutzer kompromittiert wird, verfehlt seine Zielsetzung. Zum Beispiel entschlüsselt nur ein IT-Anfänger seine SSH-Keys individuell mit Passwort (oder hat gar nur einen einzigen für mehrere Server), in der Realität nutzt man einen SSH-Agent, und am Ende ist dieser schnell an eine Single-Sign-On-Lösung oder bspw. KeePassXC angebunden, damit Sicherheit auch praktikabel wird.
Die gleiche Magie bieten Passwortmanager, wobei Passkeys (siehe Passkey Developer Resources | passkeys.dev) ein nativer Weg ist, wie man sich mit einem Passwortmanager anmelden kann. Ein Verfahren, dass derzeit in rasantem Tempo Verbreitung findet, einschließlich Open-Source-Lösungen wie bspw. kürzlich KeePassXC.
Es gibt für Multi-Faktor-Authentifikation potentiell 3 Faktoren: Knowledge, Ownership und Biometrie. Ob diese nun Serverseitige (Passwort+TOTP) oder Clientseitig (Masterpassphrase/Fingerabdruck+Passkey) abgefragt werden, ist dabei unerheblich. Passkeys sind eine sichere Anmeldemöglichkeit und wahrscheinlich sicherer als 2FA, denn in der Praxis werden Username+Passwort+TOTP oftmals in der gleichen KeePass-Datenbank abgespeichert und mit AutoType runtergerattert. Wenn man sich verklickt, rasselt KeePass ein anderes Passwort runter und leakt dieses; dann unterstützt jeder Dienst andere Passwortzeichen und Passwortlängen; die AutoType-Sequenz muss für jeden Dienst angepasst werden, usw. Das Verfahren Passkey ist dagegen Standardisiert: Auf github.com wählt man nur die Anmeldemethode aus und von der Zuordnung des richtigen Passkeyeintrags bis zur Zuordnung des korrekten Benutzerkontos erfolgt alles automatisch - Bedienfehler werden ausgeschlossen. Gerade die Anmeldung mit QR-Code löst Bequemlichkeitsprobleme: Häufig verwendete Passwörter werden meist einfacher und kürzer gewählt, bei einem Passkey muss man gar nichts mehr abtippen. Auf manchen Endgeräten möchte man nicht seine vollständige Passwortdatenbank entsperren, nur um sich selektiv bei einem einzelnen Dienst anzumelden (bspw. Firmenlaptop oder Netflix-Anmeldung bei einem Freund), andere Geräte haben keine Tastatur (bspw. SmartTV), sodass man geneigt ist in Netflix 123456 als Passwort zu setzen, sodass die Anmeldung mittels QR-Code viele Probleme addressiert. Eine Passkey-Anmeldung kann zudem auf die explizite Wahl von Identifiern wie Benutzernamen, E-Mail-Adresse, etc. verzichten, sodass auch datensparsamere 1-Klick-Registrierungen bzw. 1-Klick-Logins möglich werden, was erheblich besser ist, als bisherige "Login wie Facebook"-Lösungen, denen genau dieses Bedürfnis zugrunde liegt. Dies könnte auch öffentliche Passwortdatenbanken (bspw. für Internetforen) erübrigen, die nur entstehen, damit man nicht überall einen 0-8-15-Registrierungsprozess mit E-Mail-Adresse (und manchmal Moderatorenfreigabe) durchlaufen muss.
Am Ende des Tages sollte man nicht vergessen, dass ein Nutzer mehrere Passkeys für verschiedene Geräte einrichten und hinterlegen kann, dies aber gleichsam den Vorteil bietet, dass beim schon immer dagewesenen Bedürfnis des Account- und Passwortsharings jedes Gerät seinen individuell Passkey nutzen und der Passkey auch wieder individuell entzogen werden kann. Der Realität, dass Passwörter (einschließlich TOTP) weitergegeben oder öffentlich auf Whiteboards geschrieben werden, muss man sich einfach stellen und die Nutzerbedürfnisse dahinter adressieren. Gerade Domain-; Web- und Serverhosting gehört im Privat- und Hobbyumfeld zu einer besonders von Account-Sharing exponierte Serviceart - ihr möchtet nicht Wissen, wie viele uralte Root-Zugänge, Domain-Admin-Zugänge, usw. sich in meiner Passwortdatenbank anstauen, die über Jahre nicht geändert werden.
Ich befürworte Passkeys und würde mich freuen, wenn auch netcup diese unterstützen würde, um das Sicherheitsniveau regulärer Anmeldungen auf das Fundament von Public-Key-Kryptografie zu stellen.