Ersetzt mir Passkeys die beiden oder ist ein zusätzliches, parallel laufendes Werkzeug?
Eigentlich sollte es Passwörter ersetzen, aber die ganzen Dienste/Konten die Passkeys anbieten behalten immer noch das Passwort nebenbei, auch wenn es gar nicht mehr zur Verwendung kommen sollte.
Am Beispiel Apple, die bei den Passkeys noch die beste Implementation haben: Das Passwort für die Apple ID bleibt weiterhin erhalten, wird zB beim Login am Appstore am iPhone und iPad nicht überspringbar abgefragt obwohl ein Passkey vorhanden ist. Anscheinend wurde die Appstore-App noch nicht darauf eingestellt, auf den Passkey-Login zuzugreifen.
Also gerade der Vorteil, dass das iPhone selbst dank des Passkeys überall automatisch bei Apples Diensten einloggt, ist somit gar nicht vorhanden und das ist alles noch Apple-intern, iPhone, Apple ID, Appstore. Kein Drittanbieter involviert.
Man kann sich auch mit dem Passwort im Browser einloggen.... aber dann wird der Passkey verlangt. Apple fragt an erster Stelle, willst du dein Passwort oder deinen Passkey nutzen, lässt einen das Passwort eingeben und fragt dann erst recht wieder nach dem Passkey. Da frage ich mich schon, wozu wird mir ein Passwort-Login überhaupt noch angeboten wenn er dann nicht funktioniert.
Wenn es richtig umgesetzt ist solltest du nirgendwo mehr ein Passwort brauchen, darfst aber auch nicht alle deine Geräte (und ggf. physischen Keys, mit Yubikeys kannst du auch auch Passkeys speichern die dann an jedem Gerät genutzt werden können, wo man den Yubikey einsteckt) verlieren.
Da warnt auch Apple, wenn man kein eingeloggtes Apple-Gerät mehr hat und alle physischen Keys (Yubikeys) verloren sind, dann kann Apple das Konto nicht wiederherstellen. Da muss man doppelt und dreifach bestätigen, dass man das versteht und darf gar nicht einen einzelnen Yubikey registrieren, weil das Verlustrisiko dann zu hoch ist, da muss man immer mindestens 2 haben und einen davon an einem sicheren Platz verwahren für den Fall der Fälle.
Immerhin erlaubt Apple das überhaupt trotz der Risiken - wird sicher Leute geben die das aktivieren, alle Warnhinweise überspringen und am Ende ist das ganze Konto futsch... andere Anbieter kompromittieren lieber die Kontosicherheit und wenn du deinen Passkey nicht hast, kannst du dir immer noch einen 2FA-Code oder so zuschicken lassen. Das Problem ist ja, Apple und Co können gar nicht wissen wer du wirklich bist, anders als beim Bankkonto musst du dich nicht bei der Kontoeröffnung ausweisen, keine Sozialversicherungsnr. angeben. Wenn ich der Herr Huber bin von dem es dutzende mit dem gleichen Vornamen gibt, woher soll der Anbieter wissen dass mir das Konto gehört?
Apple sagt einfach, sie machen das nicht, wenn du deine Passkeys alle verlierst ist die Apple ID weg. Andere Anbieter sagen daher eben von vornherein, kein Problem wenn du deinen Passkey verlierst, nimm einfach das gewöhnliche Passwort. So umgehen die auch die Schwierigkeit den Kontobesitzer eindeutig feststellen zu müssen, wenn es um die Accountrecovery geht.