Passkeys: τέλος στους κωδικούς — ο πιο απλός τρόπος να προστατεύσεις λογαριασμούς το 2025

Passkeys: τέλος στους κωδικούς

Οι κωδικοί πρόσβασης έγιναν το πιο αδύναμο σημείο του ίντερνετ. Τους επαναχρησιμοποιούμε, τους ξεχνάμε, τους «δίνουμε» άθελά μας σε σελίδες που μοιάζουν αληθινές. Οι επιτιθέμενοι το ξέρουν. Γι’ αυτό επενδύουν σε phishing, σε SMS-παγίδες και σε τεχνικές που κυνηγούν το ένα λάθος κλικ.

Τα passkeys αλλάζουν το παιχνίδι γιατί δεν ζητούν να θυμάσαι κάτι. Ζητούν να αποδείξεις ότι είσαι εσύ, με τρόπο που ήδη χρησιμοποιείς καθημερινά: ξεκλείδωμα συσκευής (Face ID/Touch ID, δακτυλικό, PIN). Έτσι, μειώνουν θεαματικά την αξία του phishing και κόβουν μεγάλο μέρος των “account takeovers” στην πράξη.

Αν θέλεις μια αναβάθμιση ασφάλειας που να δουλεύει για ανθρώπους —όχι μόνο για “tech”— αυτό είναι το βήμα με την καλύτερη αναλογία κέρδους/κόστους.

Τι είναι passkeys, με απλά λόγια

Το passkey είναι ένας τρόπος σύνδεσης που αντικαθιστά τον κωδικό. Αντί να πληκτρολογείς password, επιβεβαιώνεις τη σύνδεση μέσω της συσκευής σου.

• Δεν πληκτρολογείς μυστικό που μπορεί να κλαπεί.

• Δεν στέλνεις κωδικό με SMS που μπορεί να υποκλαπεί.

• Δεν «παραδίνεις» στοιχεία σύνδεσης σε ψεύτικη σελίδα.

Το σύστημα δένει τη σύνδεση με το ξεκλείδωμα της συσκευής. Αυτό σημαίνει κάτι πολύ πρακτικό: όταν μια σελίδα προσπαθεί να σε ξεγελάσει, δεν μπορεί εύκολα να πάρει αυτό που χρειάζεται, γιατί δεν υπάρχει “κωδικός” να δώσεις.

Γιατί τα passkeys θεωρούνται πιο ασφαλή από passwords και πολλά είδη 2FA

1) Κόβουν το phishing στην πηγή

Ο κωδικός αποτελεί “μεταφερόμενο μυστικό”. Μπορεί κάποιος να στον αποσπάσει. Το passkey δεν λειτουργεί έτσι. Δεν «ταξιδεύει» ως κείμενο που αντιγράφεται ή πληκτρολογείται.

2) Δεν βασίζονται σε SMS

Το SMS 2FA βοήθησε, αλλά δεν έλυσε το πρόβλημα. Οι επιτιθέμενοι παίζουν με SIM swap, social engineering, ανακατευθύνσεις. Το passkey παρακάμπτει μεγάλο μέρος αυτών των αλυσίδων.

3) Φέρνουν “ασφάλεια από προεπιλογή”

Ο χρήστης δεν χρειάζεται να διαχειριστεί πολυπλοκότητα. Η συνήθεια παραμένει ίδια: ανοίγω συσκευή → επιβεβαιώνω.

Πού θα τα συναντήσεις στην πράξη

Θα δεις επιλογές όπως:

• “Sign in with passkey”

• “Use passkey”

• “Create a passkey”

• “Continue with device”

Συνήθως θα τα προσφέρουν μεγάλες πλατφόρμες (email, cloud, social, οικονομικές υπηρεσίες), αλλά πλέον μπαίνουν και σε μικρότερες υπηρεσίες.

Το βασικό που πρέπει να ξέρεις πριν ξεκινήσεις

Τα passkeys “ζουν” μέσα στο οικοσύστημα της συσκευής σου ή στο password manager σου.

• Σε iPhone/iPad, συχνά τα συγχρονίζει το iCloud Keychain.

• Σε Android, συχνά τα συγχρονίζει ο Google Password Manager.

• Σε υπολογιστή, μπορεί να εμπλέκονται Windows/Apple/Google ή password managers.

Αυτό οδηγεί σε έναν κανόνα-κλειδί:

Πρώτα φροντίζεις πρόσβαση/ανάκτηση στη συσκευή και στον λογαριασμό-βάση (Apple ID ή Google Account). Μετά ενεργοποιείς passkeys παντού.

Γρήγορη στρατηγική: “Ασφάλεια σε 30 λεπτά”

1. Σιγουρεύεις ότι έχεις σωστό PIN/βιομετρικά στη συσκευή.

2. Ελέγχεις ότι ο βασικός λογαριασμός (Apple ID ή Google) έχει ενημερωμένα στοιχεία ανάκτησης.

3. Ενεργοποιείς passkey σε email/λογαριασμούς που ξεκλειδώνουν τα υπόλοιπα.

4. Κρατάς ένα “fallback” τρόπο σύνδεσης, μέχρι να νιώσεις άνετα.

Το πιο συχνό λάθος είναι να ξεκινάς από δευτερεύοντες λογαριασμούς. Ξεκίνα από τα “κλειδιά του βασιλείου”.

(Στο Μέρος 2 μπαίνουμε σε καθαρά πρακτικά βήματα: iPhone/Android, Google/Apple/Microsoft, τι κάνεις σε laptop, πώς μεταφέρεις πρόσβαση σε νέα συσκευή, και πώς αποφεύγεις τις παγίδες.)

Πώς τα ενεργοποιείς σωστά (βήμα-βήμα, χωρίς να μπερδευτείς)

Α. Πριν πατήσεις “Create passkey”: τρία προαπαιτούμενα

1. Κλείδωσε τη συσκευή σου σοβαρά. Βάλε PIN που δεν μαντεύεται, όχι “0000” ή ημερομηνίες.

2. Εξασφάλισε ανάκτηση. Έλεγξε email/τηλέφωνο ανάκτησης στον βασικό λογαριασμό σου (Apple ID/Google).

3. Κράτα ενημερώσεις. Αναβάθμισε λειτουργικό και browser. Η σταθερότητα μειώνει αστοχίες.

Αυτά τα τρία κάνουν τη διαφορά μεταξύ “άνετης μετάβασης” και “μπλοκάρισα έξω”.

Passkeys σε iPhone / iPad (λογική χρήσης)

1. Μπαίνεις στο account που σε ενδιαφέρει.

2. Ανοίγεις Security / Sign-in options.

3. Επιλέγεις “Create passkey” ή “Add passkey”.

4. Επιβεβαιώνεις με Face ID/Touch ID.

Στην καθημερινή χρήση:

• Πατάς “Sign in with passkey”.

• Η συσκευή σου ζητά Face ID/Touch ID.

• Μπαίνεις χωρίς να πληκτρολογήσεις τίποτα.

Τι να προσέξεις στο iPhone

• Κράτα πρόσβαση στο Apple ID. Αν χάσεις αυτό, δυσκολεύει η ανάκτηση.

• Έλεγξε ότι το iCloud Keychain λειτουργεί όπως θέλεις (ειδικά αν έχεις πάνω από μία Apple συσκευή).

Passkeys σε Android (λογική χρήσης)

1. Μπαίνεις στο account.

2. Security / Sign-in options.

3. “Create passkey”.

4. Επιβεβαίωση με δακτυλικό/PIN.

Συνήθως τα passkeys συγχρονίζονται με τον λογαριασμό Google στη συσκευή, ώστε να τα δεις και σε άλλη συσκευή που συνδέεται στο ίδιο account.

Τι να προσέξεις στο Android

• Επένδυσε σε ισχυρό PIN και ενεργοποίησε βιομετρικά.

• Κράτα καθαρό τον βασικό Google λογαριασμό με ασφαλή ανάκτηση.

Google, Apple, Microsoft: ποια σειρά έχει νόημα

1) Ξεκίνα από email/identity providers

Οι περισσότεροι λογαριασμοί “δένονται” πάνω σε email και single sign-on. Αν θωρακίσεις αυτά, κερδίζεις παντού.

Σειρά προτεραιότητας:

1. Email (Gmail/Outlook/iCloud)

2. Apple ID ή Google account (ό,τι χρησιμοποιείς ως βάση)

3. Microsoft account αν δουλεύεις Windows/Office/OneDrive

4. Social/marketplaces που σε ενδιαφέρουν

5. Οτιδήποτε δευτερεύον

2) Κράτα fallback μέχρι να σταθεροποιηθείς

Μη σβήσεις αμέσως όλα τα άλλα login methods. Δούλεψε σε “διπλό” καθεστώς λίγες ημέρες, μέχρι να βεβαιωθείς ότι λειτουργούν σε όλες τις συσκευές που χρησιμοποιείς.

Τι γίνεται σε laptop/desktop (η πραγματική ζωή)

Στον υπολογιστή θα δεις τρία σενάρια:

Σενάριο 1: Ο ίδιος “κόσμος” (ίδιο οικοσύστημα)

Χρησιμοποιείς Safari σε Mac με Apple ID, ή Chrome σε Windows/Android με Google account. Εκεί η εμπειρία γίνεται ομαλή.

Σενάριο 2: Διαφορετικές συσκευές

Έχεις passkey στο κινητό και θες login σε desktop. Τότε συχνά:

• σκανάρεις QR από την οθόνη με το κινητό, ή

• επιβεβαιώνεις με “use your phone”.

Αυτό ακούγεται σαν QR scam, αλλά εδώ παίζει μία διαφορά: εσύ ξεκίνησες τη διαδικασία σε γνωστό site, όχι από τυχαίο μήνυμα. Κράτα αυτόν τον κανόνα και μένεις ασφαλής.

Σενάριο 3: Password manager

Αν χρησιμοποιείς password manager που υποστηρίζει passkeys, μπορεί να τα συγχρονίζει cross-platform. Εκεί κερδίζεις ευελιξία, αλλά θέλεις δυνατό master access και σωστή ανάκτηση.

Η μεγαλύτερη παγίδα: “χάθηκα χωρίς τη συσκευή μου”

Το passkey σε δένει στη συσκευή και στον λογαριασμό συγχρονισμού. Άρα χρειάζεσαι σχέδιο για δύο στιγμές:

1. Αγοράζω νέο κινητό.

2. Χάνω κινητό.

Για νέο κινητό

• Πρώτα συνδέεσαι στον βασικό λογαριασμό (Apple/Google).

• Μετά συγχρονίζεις passkeys.

• Έπειτα δοκιμάζεις login σε 1–2 βασικές υπηρεσίες.

Για χαμένο κινητό

• Ξεκινάς από ανάκτηση Apple ID/Google account.

• Χρησιμοποιείς recovery methods που έχεις ορίσει (δεύτερη συσκευή, recovery email/phone, κωδικούς ανάκτησης).

• Έπειτα ακυρώνεις sessions από άγνωστες συσκευές.

Αν θες “επαγγελματική” ασφάλεια χωρίς άγχος, κράτα και κωδικούς ανάκτησης (recovery codes) για τους σημαντικότερους λογαριασμούς, αποθηκευμένους offline.

Μικρό, αλλά κρίσιμο: τι αλλάζει στην καθημερινή σου συμπεριφορά

Με passkeys κερδίζεις, αλλά δεν σταματάς να σκέφτεσαι.

• Δεν πατάς “login” από link σε SMS/email.

• Μπαίνεις από app ή πληκτρολογείς ο ίδιος τη διεύθυνση.

• Επιβεβαιώνεις ταυτότητα αν κάποιος ζητά “επείγουσα” αλλαγή ρυθμίσεων.

Τα passkeys μειώνουν τις πιθανότητες, δεν αντικαθιστούν την κρίση.

Passkeys vs Passwords vs 2FA: ένας καθαρός τρόπος να το σκεφτείς

Σκέψου την ασφάλεια σαν τρία επίπεδα:

1. Κάτι που ξέρεις (password)

2. Κάτι που έχεις (συσκευή/κλειδί)

3. Κάτι που είσαι (βιομετρικά)

Τα passkeys συνδυάζουν πρακτικά το (2) και το (3), χωρίς να σου ζητούν να απομνημονεύεις και να μεταφέρεις “μυστικό” (1). Αυτό εξηγεί γιατί μειώνουν θεαματικά το phishing.

Ωστόσο, η ποιότητα της ασφάλειας εξαρτάται από κάτι πολύ συγκεκριμένο: πόσο καλά προστατεύεις τον βασικό λογαριασμό και τη συσκευή σου. Αν αφήσεις χαλαρό PIN ή αδύναμη ανάκτηση, χτίζεις πάνω σε ασταθές θεμέλιο.

Πότε να βάλεις passkeys “παντού” και πότε να κρατήσεις υβριδική λύση

Βάλε passkeys παντού όταν:

• Χρησιμοποιείς κυρίως 1–2 οικοσυστήματα (Apple ή Google) και συγχρονίζεις συσκευές.

• Θες απλοποίηση της καθημερινής σύνδεσης.

• Σου επιτίθενται συχνά με phishing ή δέχεσαι πολλά “ύποπτα” μηνύματα.

Κράτα υβριδική λύση (passkey + εναλλακτικό 2FA) όταν:

• Μοιράζεσαι λογαριασμούς σε ομάδα (κάτι που καλό είναι να αποφεύγεις).

• Αλλάζεις συχνά συσκευές ή δουλεύεις σε περιβάλλον με πολλούς σταθμούς εργασίας.

• Η υπηρεσία δίνει passkeys αλλά έχει ασταθή εμπειρία ακόμη.

Η υβριδική λύση λειτουργεί καλά: δίνει ασφάλεια χωρίς να σε “κλειδώνει” σε ένα μόνο μονοπάτι.

Πρακτικός οδηγός “ασφάλεια για οικογένεια” σε 15 λεπτά

1. Βάλτε ισχυρό PIN σε όλα τα κινητά.

2. Ενεργοποιήστε βιομετρικά (όπου γίνεται).

3. Ελέγξτε recovery email/phone στους βασικούς λογαριασμούς.

4. Βάλτε passkeys σε email, social και 1–2 κρίσιμες υπηρεσίες.

5. Συμφωνήστε έναν κανόνα: καμία αλλαγή ασφάλειας από link σε μήνυμα.

Αυτό το πακέτο ανεβάζει επίπεδο σε όλο το “σπίτι”, χωρίς τεχνικό βάρος.

FAQ (οι ερωτήσεις που κάνουν όλοι)

1) Θα εξαφανιστούν οι κωδικοί;

Όχι άμεσα. Θα τους δεις να υποχωρούν, αλλά πολλές υπηρεσίες θα κρατήσουν passwords ως fallback για καιρό. Παρ’ όλα αυτά, εσύ μπορείς να μειώσεις τη χρήση τους δραστικά από σήμερα.

2) Τι γίνεται αν κάποιος με ξεγελάσει με “QR login”;

Κράτα έναν κανόνα: ξεκινάς login μόνο από site/app που άνοιξες εσύ. Αν σου στείλουν QR ή link “για να μπεις”, το αγνοείς. Όταν εσύ ξεκινάς τη διαδικασία σε γνωστό domain, το QR/phone prompt λειτουργεί ως ασφαλές bridge. Όταν το ξεκινά τρίτος, γίνεται παγίδα.

3) Θα δουλέψουν παντού;

Όχι. Θα δεις υπηρεσίες που τα υποστηρίζουν πλήρως και άλλες που τα δίνουν πειραματικά. Γι’ αυτό βοηθά η στρατηγική “ξεκινώ από τα κρίσιμα”.

4) Είναι ασφαλή τα βιομετρικά;

Τα βιομετρικά στο passkey flow λειτουργούν κυρίως ως τρόπος ξεκλειδώματος στη συσκευή, όχι ως “δεδομένα που στέλνονται” στο site. Η συσκευή κάνει τη δουλειά. Η υπηρεσία παίρνει την επιβεβαίωση με ασφαλή μηχανισμό, όχι το δακτυλικό σου.

5) Αν χάσω όλες τις συσκευές μου, τελείωσα;

Όχι, αν έχεις σωστή ανάκτηση. Εκεί μπαίνουν recovery email/phone, δεύτερη συσκευή, και recovery codes. Η προετοιμασία λύνει το πρόβλημα πριν εμφανιστεί.

Συμπέρασμα (news + lecture tone, χωρίς υπερβολή)

Τα passkeys δεν είναι “μόδα”. Αποτελούν μια ώριμη απάντηση σε ένα δομικό πρόβλημα: οι κωδικοί δεν σηκώνουν άλλο το βάρος της ασφάλειας. Το 2025 ευνοεί λύσεις που δουλεύουν στην καθημερινότητα, μειώνουν το phishing και δεν ζητούν από τον χρήστη να θυμάται μυστικά.

Αν κάνεις μία κίνηση αυτή την εβδομάδα, κάν’ την συγκεκριμένη: θωράκισε τον βασικό λογαριασμό σου (Apple/Google), βάλε ισχυρό κλείδωμα συσκευής και ενεργοποίησε passkeys στα κρίσιμα accounts. Θα δεις την ασφάλεια να ανεβαίνει, ενώ η τριβή στην είσοδο πέφτει.

Διαβάστε εδώ το άρθρο στα Αγγλικά Ηνωμένων Πολιτειών.