Passkeys und FIDO2/Webauthn-Credentials auf einem Yubikey sind technisch das selbe und werden vom Browser mit der gleichen API angesteuert.
Unterschied:
- Auf dem Yubikey gespeicherte private Schlüssel bleiben in der Hardware und können nicht ausgelesen/kopiert werden. Verlierst du die Hardware, verlierst du den Zugang.
- Passkeys vom Betriebssystem (Windows, macOS, Android, iOS usw.) werden in dem dahinter liegenden Cloudaccount gespeichert und durch das Cloud-Passwort geschützt. Verlierst du das Cloudkonto, verlierst du den Zugang. Irgendwann wird es da sicherlich auch eine Ex-/Import-Funktion geben, aber noch gibt's das nicht.
Aktuell speichert der Yubikey 25 FIDO2-Accounts, aber die arbeiten an mehr, weil sie erwarten, dass diese Art der Anmeldung sich verbreitet und ein durchschnittlicher User mehr Accounts hat, als ihm lieb ist.
Ist ein Webdienst gut, kannst du mehrere Hardware-Keys als Zugang registrieren. Das Backup ist also nicht eine Kopie deines Schlüssels, sondern ein weiterer Schlüssel, was den Vorteil hat, dass man einen verlorenen Schlüssel sperren kann, anstatt das Schloss austauschen zu müssen (setzt natürlich eine Liste der Accounts voraus, wo man seinen USB-Key registriert hat).
Bei OS-Passkeys bin ich mir nicht sicher, dass du mehrere hinterlegen kannst, das ist sicherlich nicht vorgesehen, wenn auch technisch möglich. Dafür gibt es ja das "Cloud-Backup"...
Einen vernünftigen Hardware-Key kann man übrigens per Fingerabdruck sichern, genauso wie den Zugang zu seinem Handy.