Ich finde das Passkey/FIDO2 Verfahren mehr als interessant. Was mich allerdings bisher abschreckt, ist die Zwangseinbindung von Apple, Microsoft und Co.?
Zwar soll z.B. der Schlüsselbund bei Apple Ende-zu-Ende verschlüsselt sein, wodurch das Unternehmen nicht auf den Inhalt zugreifen können soll. Doch wie sicher ist das wirklich?
Gibt es hier jemand, der dazu Erfahrung hat und eine fundierte Meinung abgeben kann?
FIDO2 heisst nicht, dass damit eine Zwangsbindung an Apple, Microsoft, … einhergeht. Du kannst du z.B. Dropbox direkt mit FIDO2 nutzen und brauchst dafuer die oben genannten Firmen nicht.
Mir geht es doch nicht um FIDO2, sondern um das Passkey-Verfahren! Dies ist eine Initiative von Apple, Microsoft und Google, die FIDO2 benutzerfreundlicher (Stichwort: Geräteübergreifend) machen soll. Bei Apple wird dabei vorausgesetzt, dass der Schlüsselbund in der iCloud gesichert wird. Und das heißt: man muss der Firma absolut vertrauen.
Ich frage, ob die Ende-zu-Ende Verschlüsselung wirklich so sicher ist, wie es immer behauptet wird. Ich frage nicht, was FIDO2 ist.
Bei der Kritik an der Zwangsanbindung bin ich bei dir, und denke dass darueber hinaus auch das Benutzerverhalten auch regisriert / analysiert wird (sicherlich zum Schutz des Users und fuer die User Experience …); Wenn loggt sich wer mit welchem Geraet wo ein …
Die Frage der Ende zu Ende Verschluesselung ist fuer mich nicht der springende Punkt, die setze ich voraus.
Kritisch sehe ich hingegen die Technik das Schluesselmaterial ueber die Cloud zwischen den einzelnen Endgeraeten zu synchroniseren, denn man muss hier Apple, Google und Co. vetrauen. Dieses Vertrauen habe ich nicht (Stichwort Cloud Act), und zwar nicht erst seit Einfuehrung von Passkey und deswegen nutzen unsere Apfelgeraete daheim auch kein iCloud und Passkey ohne das auf allen Geraeten nutzen zu koennen macht auch kein Sinn.
Mehr Sicherheit hat man meiner Meinung nach mit einem HW Key weil man da die Keys nicht synchronsieren muss.
Zu dem Schluss (mit dem HW Key) bin ich bisher auch gekommen - nur bequem ist was anderes und noch zu selten einsetzbar. Wenn man wie ich am Tag gefühlte hunderte Mal ein Passwort eingeben muss (und ja, ich verwende Passwort-Manager), wäre man über eine einfachere, aber sichere Lösung glücklich. 
Da in der ct das Passkey-Verfahren so überschwenglich als das kommende Ding beschrieben wurde, dachte ich, es wäre an der Zeit meinen Kenntnisstand hierbei zu hinterfragen.
Was den Komfort beim Thema Password angeht bin ich auch bei dir und denke, dass es gut ist, dass es hier auch Fortschritte gibt. Was dann aber die Sicherheit der Daten in der Cloud der Anbieter angeht bin ich eher Skeptiker. Den ct Bericht Ende-zu-Ende-Verschlüsselung der iCloud: Verdient Apple schon jetzt Lob dafür? habe ich gelesen und man darf gespannt sein, wie Apple dies - inbesondere in China - ausgestalten will.
Ein anderes Thema ist noch die Frage: Werden meine Passkey Aktivitaeten von Apple getrackt? Diese Frage wuerde ich mit „hoechstwahrscheinlich ja“ beantworten, denn ich kann mir schlecht vorstellen, dass sich die grossen Firmen dies entgehen lassen und begruenden dies sicher damit, dass man den Nutzer schuetzen will und ihm eine bessere User Experience bieten will. Hierzu sei noch auf den ct Artikel Sicherheitsforscher: Apple trackt App-Store-Nutzer trotz Opt-out verwiesen, Stichwort „Sonderlocken fuer Apple“.
Danke für die Links.
Nur bin ich armer Tropf nun so schlau als all davor…
Folge ich meiner Erfahrung bzw. Paranoia, so sind alle Zusagen von Firmen, dass sie meine Privatsphäre achten, für die Tonne. Schließlich wird so was jemals von einer vertrauenswürdigen Drittseite überprüft? Immer dieses Henne und Ei Problem.
Für mich ist es zunehmend frustrierend, selbst an allen Ecken und Enden gegängelt und „gesetzelt“ zu werden, der Staat selbst oder große Firmen sich aber einen Dreck darum scheren und damit immer durchkommen. 
Ich bin quasi wieder geerdet - etwas mehr Komfort ade - willkommen zurück Paranoia.
Aktuell gibt es von heise zu diesem Thema den Artikel Passwörter abschaffen mit Passkeys: Was sie ausmacht und wie sie funktionieren, allerdings hinter Paywall.
In Ergaenzung zu dem bereits oben genannten wuerde ich noch folgendes aus dem Artikel zusammenfassen wollen: