Na da hast du ja selbst schon eine lange Liste von Aspekten, wie man Passkeys "falsch" umsetzen könnte.
An dem Grunddilemma, dass sichere Systeme unkomfortabel sind und komfortable unsicher, wird aber auch noch so viel Valve'sche Genialität nichts ändern können. Alles was automatisch läuft, kann auch automatisch und unbemerkt falsch laufen und alles, was auf einmal/auf einem Gerät/in einem Zug geschieht, beinhaltet nahezu unvermeidbar single points of failure, welche die Gefahr durch Angreifer vervielfachen. Der Sicherheits-Kerngedanke hinter 2FA (egal welcher Form) ist es daher, ein komplett getrenntes, zweites System zu haben, dass mit dem primären nur über manuelle Aktivität des Anwenders verbunden ist. Sowas kann man mehr oder minder gut implementieren, aber es wird immer umständlich und unbequem bleiben, während jede Abweichung vom Ideal eine Aufweichung des Sicherheitskonzepts darstellt. Dafür kann man sich bewusst entscheiden, wenn die Sicherheit weniger wichtig als der Komfort ist, aber dann sollte man keine Absolutheitsansprüche bezüglich ersterer mehr erheben und gegebenenfalls auch in Betracht ziehen, dass andere die Balance noch weiter verschieben und sich zum Beispiel auf 1FA beschränken wollen.
(Ich persönlich finde es einigermaßen paradox, dass jeder zweite Datensammler für 08/15-Online-Accounts im Namen der Sicherheit auf Maßnahmen drängt, die weit über das hinausgehen, was 99 Prozent der Bevölkerung an ihrer Haus-/Wohnungstür praktizieren. Nicht einmal Autos, und das will in Deutschland was halten, werden so sorgfältig abgesichert wie Steam-Accounts.)
)
