Passkeys (FIDO2) για Windows και browsers: πώς να αφήσετε τους κωδικούς χωρίς να χάσετε πρόσβαση

Τα passkeys είναι πλέον μια πρακτική λύση για να αντικαταστήσετε τους κωδικούς σε υπολογιστές Windows. Μειώνουν τον κίνδυνο phishing, επειδή δεν υπάρχει «μυστικό» που να μπορεί να κλαπεί ή να πληκτρολογηθεί σε λάθος σελίδα. Η πραγματική δυσκολία το 2026 δεν είναι η δημιουργία passkeys, αλλά η σωστή μετάβαση: πού αποθηκεύονται, πώς οργανώνετε ανάκτηση πριν τη χρειαστείτε και πώς κρατάτε πρόσβαση σε υπηρεσίες που ακόμη βασίζονται σε κωδικούς.

Πώς λειτουργούν τα passkeys στην πράξη και γιατί μπλοκάρουν το phishing

Ένα passkey είναι διαπιστευτήριο FIDO2/WebAuthn που βασίζεται σε κρυπτογραφία δημοσίου κλειδιού. Όταν δημιουργείτε passkey για έναν συγκεκριμένο ιστότοπο ή εφαρμογή, η συσκευή σας φτιάχνει ένα ζεύγος κλειδιών: ένα ιδιωτικό κλειδί που παραμένει προστατευμένο στη συσκευή και ένα δημόσιο κλειδί που αποθηκεύει η υπηρεσία.

Στη σύνδεση, η υπηρεσία στέλνει μια «πρόκληση» (challenge) και η συσκευή σας την υπογράφει με το ιδιωτικό κλειδί. Έτσι, η υπηρεσία επιβεβαιώνει ότι είστε εσείς χωρίς να χρειάζεται να στείλετε ή να πληκτρολογήσετε κωδικό.

Αυτός είναι και ο λόγος που τα passkeys είναι τόσο ανθεκτικά στο phishing: η διαδικασία WebAuthn δένει τη σύνδεση με το σωστό domain. Ένα ψεύτικο site δεν μπορεί να χρησιμοποιήσει το passkey σας για να συνδεθεί στο πραγματικό, γιατί η υπογραφή δεν θα είναι έγκυρη για άλλο origin.

Windows Hello, FIDO2 και πού «ζει» το ιδιωτικό κλειδί

Στα Windows 11, το Windows Hello λειτουργεί ως βήμα επαλήθευσης χρήστη για τα passkeys. Συνήθως θα δείτε επιβεβαίωση με βιομετρικά (αν είναι ρυθμισμένα) ή με Windows Hello PIN. Είναι φυσιολογικό και γι’ αυτό το PIN πρέπει να αντιμετωπίζεται ως σημαντικό στοιχείο ασφάλειας.

Το 2026, τα passkeys συναντώνται κυρίως σε δύο μορφές αποθήκευσης. Η πρώτη είναι «συσκευής»: το passkey μένει στο κινητό ή στον υπολογιστή, προστατευμένο από το hardware και τον τρόπο ξεκλειδώματος. Η δεύτερη είναι «συγχρονισμένη»: ένας λογαριασμός-θησαυροφυλάκιο μπορεί να το αντιγράψει σε άλλες αξιόπιστες συσκευές, αφού επιβεβαιώσετε την ταυτότητά σας.

Υπάρχει και η επιλογή κλειδιού ασφαλείας FIDO2 (hardware security key), που μπορεί επίσης να αποθηκεύει passkeys. Για πολλούς χρήστες είναι η καλύτερη εφεδρεία: passkeys στις καθημερινές συσκευές για ευκολία, και ένα hardware κλειδί φυλαγμένο με ασφάλεια για «αν συμβεί το κακό».

Μετάβαση από κωδικούς σε 20–30 λεπτά χωρίς να «σπάσετε» παλιούς λογαριασμούς

Ξεκινήστε από τους πιο κρίσιμους λογαριασμούς: email, λογαριασμούς Microsoft/Google/Apple και ό,τι χρησιμοποιείτε για ανάκτηση. Αυτοί είναι οι «ρίζες» σας, γιατί από εκεί εξαρτάται η πρόσβαση σε πολλές άλλες υπηρεσίες. Πριν ενεργοποιήσετε passkeys, βεβαιωθείτε ότι οι επιλογές ανάκτησης είναι ενημερωμένες (εναλλακτικό email, τηλέφωνο, εφεδρικοί κωδικοί όπου υπάρχουν).

Στη συνέχεια, ρυθμίστε passkey σε τουλάχιστον δύο «μονοπάτια»: (1) στη βασική σας συσκευή (κινητό ή κύριο PC) και (2) σε ένα εφεδρικό μέσο. Το εφεδρικό μπορεί να είναι δεύτερη συσκευή που έχετε ήδη ή ένα hardware security key. Στόχος είναι να αποφύγετε ένα μοναδικό σημείο αποτυχίας.

Τέλος, μην αφαιρείτε όλους τους κωδικούς από την πρώτη μέρα. Πολλές υπηρεσίες κρατούν κωδικούς ως fallback για παλιές εφαρμογές, παλαιότερες συσκευές ή ορισμένες ροές ανάκτησης. Η πιο ασφαλής προσέγγιση είναι: προσθέστε passkey, δοκιμάστε σύνδεση από δεύτερη συσκευή/browser, επιβεβαιώστε ότι η ανάκτηση λειτουργεί και μετά αποφασίστε αν θα κρατήσετε τον κωδικό ως έσχατη λύση.

Τι κάνετε με υπηρεσίες που δεν υποστηρίζουν passkeys

Για υπηρεσίες που δεν έχουν passkeys, κρατήστε ισχυρό, μοναδικό κωδικό (ιδανικά από password manager) και ενεργοποιήστε δεύτερο παράγοντα όπου γίνεται (TOTP εφαρμογή, push επιβεβαίωση ή hardware key). Το ότι μεταβαίνετε σε passkeys δεν σημαίνει ότι πρέπει να «ρίξετε» το επίπεδο ασφάλειας αλλού.

Αν μια υπηρεσία επιτρέπει «Σύνδεση με Microsoft/Google/Apple», μπορεί να λειτουργήσει ως γέφυρα. Προστατεύετε τον κεντρικό λογαριασμό με passkeys και μειώνετε τον αριθμό των ξεχωριστών κωδικών που διαχειρίζεστε, χωρίς να χάνετε πρακτικότητα.

Όπου η ανάκτηση βασίζεται υπερβολικά σε SMS, θεωρήστε το αδύναμο σημείο και αντισταθμίστε: ενεργοποιήστε ειδοποιήσεις σύνδεσης, προτιμήστε ισχυρότερο 2FA όπου είναι δυνατό και κρατήστε recovery codes offline. Έτσι περιορίζετε τον κίνδυνο μέχρι να φτάσει πλήρης υποστήριξη passkeys.

Σχέδιο ανάκτησης: χαμένο κινητό, αλλαγή υπολογιστή και κοινόχρηστες ή εταιρικές συσκευές

Το πιο συνηθισμένο πρόβλημα είναι απλό: κάποιος έβαλε passkeys μόνο στο κινητό του, έχασε τη συσκευή και μετά ανακάλυψε ότι δεν ολοκλήρωσε την ανάκτηση. Για να το αποφύγετε, σχεδιάστε εξαρχής το σενάριο «χάνω συσκευή». Χρειάζεστε τουλάχιστον δύο ανεξάρτητους δρόμους επιστροφής: άλλη αξιόπιστη συσκευή ήδη συνδεδεμένη ή ένα hardware security key, μαζί με ενημερωμένες επιλογές ανάκτησης λογαριασμού.

Αν τα passkeys σας συγχρονίζονται μέσω λογαριασμού (vault), τότε η ασφάλεια εξαρτάται από το πόσο προστατευμένος είναι αυτός ο λογαριασμός. Αυτό σημαίνει ισχυρή μέθοδο σύνδεσης, προσεκτική διαχείριση email ανάκτησης και αποφυγή αδύναμων καναλιών που μπορούν να παραβιαστούν.

Σε κοινόχρηστους υπολογιστές και σε εταιρικά διαχειριζόμενες συσκευές χρειάζεται πειθαρχία. Συνήθως δεν είναι καλή ιδέα να αποθηκεύετε προσωπικά passkeys σε κοινόχρηστο προφίλ Windows. Για εργασία, ακολουθήστε πολιτικές οργανισμού (π.χ. απαιτήσεις Windows Hello for Business, συμμόρφωση συσκευής ή συγκεκριμένοι πάροχοι διαπιστευτηρίων) και προτιμήστε hardware keys όταν χρειάζεστε φορητή, ελεγχόμενη πρόσβαση.

Λίστα ελέγχου για σπίτι και δουλειά ώστε να μη μείνετε εκτός

Για υπολογιστή στο σπίτι: ρυθμίστε Windows Hello (PIN και, αν γίνεται, βιομετρικά), ενεργοποιήστε κρυπτογράφηση συσκευής όπου υποστηρίζεται και βεβαιωθείτε ότι οι επιλογές ανάκτησης στους βασικούς λογαριασμούς είναι ενημερωμένες. Προσθέστε passkey σε έναν κύριο λογαριασμό και δοκιμάστε σύνδεση σε δύο browsers.

Για εταιρικό υπολογιστή: χρησιμοποιήστε μόνο εγκεκριμένα προγράμματα περιήγησης και εταιρικούς λογαριασμούς, ελέγξτε αν επιτρέπονται τρίτοι πάροχοι διαπιστευτηρίων και καταχωρίστε έγκαιρα ένα hardware security key αν το απαιτεί η πολιτική. Κρατήστε το κλειδί προσβάσιμο, αλλά όχι εκτεθειμένο.

Και στις δύο περιπτώσεις: κρατήστε ένα offline backup. Ένα hardware security key φυλαγμένο με ασφάλεια και recovery codes τυπωμένοι ή αποθηκευμένοι offline για τους «ριζικούς» λογαριασμούς είναι ο πιο ρεαλιστικός τρόπος να σώσετε την πρόσβαση όταν χαθεί κινητό, κλαπεί laptop ή μπλοκαριστείτε σε ταξίδι.