Ahh, oder bedeutet 'passwortlos' das statt einer Passphrase (die man
wissen/behalten muss) ein biometrisches Verfahren eingesetzt wird? Also
der private Key ist geschützt, aber eben nicht per Passphrase sondern
mit etwas physikalischem/biometrischem?

Bernd

Google hält zu FIDO2 wirklich massige Infos bereit

evt hilft Dir das schon weiter
https://www.it-administrator.de/Sichere-Authentifizierung-mit-FIDO2

Nein.

Der Private Key wird beim ersten Anmelden bei einem Dienst auf Deinem
Gerät erzeugt.
Dieser Private Key wird /nie/ von dort an den Diensteanbieter
übertragen.

Bei der Kryptografie "Public Key/ Private Key" stellt der
Diensteanbieter Dir beim Anmelden eine Aufgabe (Challenge). Diese
(mathematische) Aufgabe kann Dein Private Key lösen. Die Lösung (nicht
den Private Key) überträgst Du als Beweis, dass Du Dich authentisieren
kannst, an den Diensteanbieter.
Die Hersteller von FIDO2-Sticks implementieren einen Schutz des
Zugriffs auf den Stick in Form einer PIN.
Bei meinem Stick vom Hersteller Nitrokey muss ich zusätzlich noch den
Stick innerhalb einer kurzen Zeitspannen berühren (ohne Biometrie).
Sozusagen als Bestätigung, dass es einen physischen Akteur gibt.

Wenn Du keinen Stick, sondern ein kompatibles Gerät (Smartphone,
Laptop) nutzt, werden z.B. dessen Biometriemethoden als Zugangsschutz
zur Passkey-Schlüsselverwaltung auf dem Gerät genutzt.
<https://www.heise.de/hintergrund/Bestandsaufnahme-Passwort-Nachfolger-Passkeys-9048722.html>

Wir haben hier in der Gruppe kürzlich Passkeys kritisch diskutiert:

Subject: Einige Diensteanbieter schließen FF fuer Passkeys aus -
warum?
Date: Sun, 12 May 2024 16:27:42 +0200
Message-ID: <***@borumat.de>


Andreas

Hi, noch ein paar Infos aus der neuen c't:

<https://www.heise.de/select/ct/2024/14/2330613114129626640>

Gruß, Dieter