FIDO2 ist auf viele Arten sicherer als Passwörter - auf der FIDO Alliance Website kann man sich da noch weiter einlesen - persönlich finde ich gerade die Tatsache, dass ein Server-Hack dein Passwort/Zugang nicht preis gibt (wegen asymmetrischer Kryptographie statt einem Passwort) mit am wichtigsten heute. Es ist auch wichtig zu erwähnen, dass der PIN nur so genannt wird und beliebige Zeichenketten enthalten kann. Dieser sorgt auch lediglich für die Freigabe vom Nitrokey/FIDO2-Token und wird nie an einen Dienst weiter gegeben - darüber hinaus wird FIDO2 auch ohne PIN unterstützt, was genau hier aber an Sicherheitsmaßnahmen gewählt wird, entscheidet der Server. Man kann die verschiedenen Varianten z.b. auf webauthn.io ausprobieren (Advanced Settings: User Verification meint PIN, Discoverable Credential heißt im wesentlichen Passkey ja/nein). Der Autoschlüssel ist ein gutes Beispiel, wenn den jemand hat, dann fährt man einfach mit dem Auto los - WENN man weiß welches Auto es ist. Bei den "non Discoverable Credentials" mit FIDO2 kann man den PIN weg lassen (wenn der Server das so vorsieht), da es vom Token her nicht ersichtlich ist welche Dienste diesen Token benutzen - also kann man mit dem Schlüssel trotz nicht benutzter PIN nicht einfach losfahren mit dem Auto. Bei den "Discoverable Credentials" (Passkeys) ist es so, dass man diese (mit Hilfe der PIN) auflisten kann, entsprechend muss hier eine PIN genutzt werden um beim Verlust des Tokens die genutzten Dienste nicht zu verraten.