und damit auch kein "passwordless"-Features. D.h. man muss sein Password wie gehabt eingeben und beweisen, dass man den Dongle besitzt, indem man ihn einsteckt und je nach Modell explizit noch durch Knopfdrücken "ja, jetzt bitte" zustimmt.

Bei einer Hausdurchsuchung ist der physische Faktor kompromittiert. Die Dongles helfen nicht, wenn jemand mit Knüppel vor einem steht und sagt "Ich habe dein Dingens, nun mach mal". In dem Fall kann man nur noch den Mund halten und das Passwort nicht rausrücken.

Falls das Passwort jedoch durch Pishing, Datenbank-Diebstahl, Raten, ... verloren geht, kann niemand unbemerkt aus Timbuktistan deinen Account übernehmen. Woher auch immer dem Angreifer das Passwort bekannt ist, das Online an verschiedenen Stellen herumschwirren kann, dem entfernten Angreifer fehlt das einmalige und nur lokal vorhandene "Dingens". Das ist der Hauptvorteil.

> sorry wenn ich da pingelig nachfrage, ist nicht gegen Dich gemeint sondern tatsaechlich weil ich das Prinzip nicht verstehe

Kein Problem, ich muss mich auch immer wieder aktiv reindenken, selbst wenn man das Thema bereits mehrmals zuvor zumindest halbwegs gefühlt verstanden hatte. Nach vier Wochen degeneriert es dann wieder Cargo-Kult.