Zoey Klares nicht wirklich.
Das was den Passkey (oder Generell auch schon FIDO2 vor Passkeys) von den Sachen unterscheidet, ist dass die Verifizierung per Passwort erzwingen ist.
eine SMS mal abgesehen von den Problemen mit SS7, ließe sich auch auf einem Nokia 3310 empfangen, dass keinen Sperrcode hat. ebenso, gibt es bei TOTP keine vorkehrungen, dass der Generator, durch irgendetwas geschützt ist.
man könnte sicher TOTP auf einem arduino implementieren mit blinkenden lämpchen und es ist trotzdem TOTP, oder etwas Praktikabler, der Google Authenticator (die erste große TOTP app) hat iirc weder selbst einen sperrcode. noch eine Policy die dem Handy einen Lockscreen mit Code abverlangt.
bei FIDO2 und den dazugehörigen technologien gibt es nicht nur die möglichkeit für Websites eine Verifizierung sei es mit Biometrie, PIN oder whatever zusätzlich zum push button anzufragen, sondern es gibt auch Positives Feedback, ob dies geschehen ist.
ebenso ist "hundertfach-FA" sowieso unfug da man konzeptuell verschiedene Faktoren aufzählt und da gibt es nur 3 Typen:
1) Wissen (bspw Kennwort/PIN)
2) Besitz (Codegenerator)
3) Biometrie
es ist egal ob du 1 Passwort oder 20 Passwörter hast, und egal ob es Websites so nennen, aus Marketinggründen, es ist immer noch 1 Faktor, etwas was du weißt
das mit dem TOTP seed merken geht zwar eigentlich gewissermaßen gegen das konzept von 2FA aber whatever
dass man sich ein Schlüsselpaar wie es in FIDO genutzt wird nicht merken kann ist soweit so normal und auch teil des konzeptes, gerade da es auch einen Zähler gibt gegen Cloning-Versuche, und man pro Seite sowieso ein neues schlüsselpaar bekommt, damit man nicht nachverfolgt werden kann. Pro Seite ein 256-bit Schlüsselpaar wird etwas schwer.
Bzgl Phishing, bin ich jetzt mal neugierig was du dir da so vorstellst. Die allermeisten Phishingversuche gehen via Semi-Einfachen E-Mails die leute auf Websites locken die mehr oder weniger täuschend echt aussehen, bei FIDO wird der dir nur sagen göogle.com? kenn ich nicht, sorry. Das einzige was mir einfällt ist dem user einen bösen Browser unterzujubeln (da kann man aber auch gleich die Cookies klauen), da unter Windows aber das System zwischen dem Browser und den FIDO Sticks steckt, bin ich gewissermaßen neugierig, wie sich Windows bei nicht-Codesignierten Anwendungen mit FIDO verhält.
Ebenso eine Sache die Passkeys weit netter macht aus Sicherheitsperspektive für den Admin ist, dass es keine Geheimnisse mehr gibt, wie Passworthashes oder das gemeinsame geheimnis des TOTPs. nur ein Public key, einen Zähler, eine ID, und falls man möchte die Attestation.