L’obiettivo delle passkeys è sostituire password + secondo fattore (SMS/TOTP/Push) essendo più robusta della combinazione dei due per la stragrande maggioranza degli utenti.
https://fidoalliance.org/passkeys/
Because the primary factor — the password — is fundamentally broken in multiple ways, the industry has seen widespread adoption of layering on an additional second factor. But unfortunately the most popular forms of second factors — such as one time passwords (OTPs) and phone approvals — are both inconvenient and insecure. They can be phished, and they are being phished at scale today.
Since passkeys are FIDO credentials, we now have a primary factor that — standing alone — is more secure than the combination of either “password + OTP” or “password + phone approval”.
Ad esempio Adobe, Amazon, Apple, GitHub, Google, Microsoft, Twitter e altri permettono di accedere con la sola passkey anche in presenza di secondo fattore originario. eBay è un caso particolare e a mio parere senza senso. L’unico scenario che mi viene in mente in cui un OTP potrebbe fornire sicurezza aggiuntiva a una passkey è in caso di compromissione totale del sistema dove si accede con passkey mentre l’OTP è su un altro dispositivo, ma in tal caso basta attendere l’accesso, rubare il cookie di sessione e ottenere accesso equivalente.