Blog

Passkey Nedir? Şifresiz ve Kimlik Avına Dayanıklı Giriş Nasıl Çalışır?

17 Temmuz 2026Üçüncü Binyıl1 okunma
Passkey Nedir? Şifresiz ve Kimlik Avına Dayanıklı Giriş Nasıl Çalışır?

Passkey, parolayı sunucuya göndermek yerine açık anahtar kriptografisi kullanan giriş bilgisidir. Hizmet açık anahtarı saklar; özel anahtar kullanıcının cihazında veya güvenli senkronizasyon sağlayıcısında korunur. Giriş sırasında cihaz, sitenin gönderdiği tek kullanımlık isteği biyometri, PIN ya da cihaz kilidi onayından sonra imzalar. Alan adına bağlı çalıştığı için sahte giriş sayfalarına karşı klasik paroladan daha dayanıklıdır.

FIDO Alliance, Mayıs 2026'da dünya genelinde yaklaşık beş milyar passkey kullanımda olduğunu tahmin etti. Yaygınlaşma, parolaların tamamen ortadan kalktığı anlamına gelmiyor. Kayıt, cihaz kaybı, hesap kurtarma, kurumsal politika ve eski sistemlerle geçiş dikkatle tasarlanmadığında güvenli teknoloji zayıf bir kullanıcı yolculuğuna dönüşebilir.

Passkey nedir?

Passkey, belirli bir hizmet için oluşturulan kriptografik anahtar çiftine dayalı kimlik bilgisidir. Açık anahtar hizmette tutulur ve gizli değildir. Özel anahtar cihazdan çıkarılmadan imza üretir. Kullanıcının yüzü veya parmak izi sunucuya gönderilmez; biyometri çoğunlukla cihazdaki özel anahtarın kullanılmasına izin veren yerel doğrulamadır.

FIDO2 ekosisteminde WebAuthn, web uygulaması ile tarayıcı arasındaki standart API'yi; CTAP ise harici güvenlik anahtarı veya başka doğrulayıcıyla iletişimi tanımlar. Kullanıcı bunları arka planda görmez; “passkey oluştur” ve “passkey ile giriş yap” akışını görür.

Passkey ile giriş adım adım nasıl çalışır?

Kayıt sırasında: Site, kullanıcının tarayıcısına bir challenge ve site kimliği gönderir. Cihaz yeni anahtar çifti üretir. Özel anahtar güvenli alanda kalır; açık anahtar ve kimlik bilgisi tanımlayıcısı siteye kaydedilir.

Giriş sırasında: Site yeni bir challenge üretir. Kullanıcı cihaz kilidi, PIN veya biyometriyle işlemi onaylar. Cihaz, challenge'ı doğru site bağlamında özel anahtarla imzalar. Sunucu imzayı kayıtlı açık anahtarla doğrular.

Challenge her oturumda değiştiği için yakalanan imza tekrar kullanılamaz. Özel anahtar sunucu veri tabanında bulunmadığından veri sızıntısı saldırgana doğrudan giriş sırrı vermez.

Passkey neden kimlik avına karşı daha dayanıklıdır?

Parola, kullanıcı tarafından sahte siteye yazılabilir. Passkey işlemi ise relying party kimliğine, yani web alanına bağlanır. Tarayıcı ve doğrulayıcı, sahte alan adı için gerçek sitenin anahtarını kullanmaz. Kullanıcıdan kopyalanabilir bir sır istenmemesi, gerçek zamanlı kimlik avı ve tek kullanımlık kod yakalama riskini azaltır.

Bu özellik “hesap ele geçirilemez” demek değildir. Saldırgan açık oturumu çalabilir, hesap kurtarmayı kandırabilir, zararlı yazılımla cihaz üzerinde işlem yapabilir veya destek ekibini sosyal mühendislikle hedefleyebilir. Güvenlik bütün yaşam döngüsüne yayılmalıdır.

Senkronize passkey ve cihaza bağlı passkey farkı

Senkronize passkey, kullanıcının aynı ekosistemdeki cihazları arasında uçtan uca korumalı biçimde kullanılabilir. Yeni telefona geçiş ve günlük kullanım kolaylaşır. Cihaza bağlı passkey ise belirli güvenlik anahtarında veya cihazda kalır; yüksek güvence isteyen kurumsal senaryolarda tercih edilebilir.

Seçim, tehdit modeline bağlıdır. Tüketici hizmetinde kurtarma kolaylığı öncelikli olabilir. Yönetici hesabı, üretim sistemi veya finansal onay için donanımsal anahtar, cihaz yönetimi ve ek politika gerekebilir. “Passkey var” bilgisi tek başına güvence seviyesini anlatmaz.

Passkey ile MFA aynı şey mi?

Bir passkey işlemi cihaz sahipliği ile yerel kullanıcı doğrulamasını birleştirebilir. Bu, kullanıcı deneyiminde tek hareket gibi görünse de birden fazla güven unsuruna dayanır. Bununla birlikte düzenleyici veya kurumsal gereksinimler, doğrulayıcı türü ve güvence seviyesi açısından farklı yorumlanabilir.

SMS kodu ve uygulama içi tek kullanımlık kod, parolaya ek katman sağlar ancak kullanıcı kodu sahte siteye girebilir. Passkey, kimlik avına dayanıklı tasarımı protokol düzeyinde destekler. Riskli işlem için ayrıca işlem bağlama, yeniden doğrulama ve davranışsal risk kontrolü uygulanabilir.

Kullanıcı deneyiminde hangi sorunlar çözülmeli?

Kullanıcı passkey'in hangi cihazda olduğunu, başka cihazdan nasıl giriş yapacağını ve cihaz kaybında ne olacağını anlayabilmelidir. “QR kod tara” akışı bağlam vermeden gösterilirse kullanıcı dolandırıcılığa açık hâle gelebilir. Ekran metni, işlemin hangi hizmet ve cihaz için yapıldığını açıkça söylemelidir.

Hesap ayarlarında kayıtlı passkey'ler adlandırılmalı, son kullanım ve kaldırma seçenekleri sunulmalıdır. Yeni passkey eklemek hassas işlem sayılmalı ve mevcut güvenilir yöntemle doğrulanmalıdır. Kurtarma kanalı, ana girişten daha zayıf olmamalıdır.

Kurumlar için geçiş planı

  • Kullanıcı türlerini ve yüksek riskli işlemleri sınıflandırın.
  • Mevcut kimlik sağlayıcının WebAuthn ve passkey yeteneklerini test edin.
  • Gönüllü kayıt ve mevcut yöntemle güvenli bağlama akışı başlatın.
  • Cihaz kaybı ve destek masası kurtarma senaryolarını tehdit modelleyin.
  • Yönetici ve ayrıcalıklı hesaplarda donanımsal seçenekleri değerlendirin.
  • Giriş, passkey ekleme, silme ve kurtarma olaylarını kaydedin.
  • Parola yolunu hemen kaldırmadan kullanım ve hata verisini izleyin.
  • Risk azaldığında zayıf yöntemleri kademeli olarak sınırlandırın.

Riskler ve yanlış inanışlar

Passkey sunucu sızıntısının etkisini azaltır; fakat uygulamadaki yetkilendirme hatasını çözmez. Kullanıcı giriş yaptıktan sonra erişememesi gereken veriye ulaşıyorsa sorun kimlik doğrulamadan farklıdır. Oturum çerezi, CSRF, XSS ve API yetkisi ayrıca korunmalıdır.

Biyometri buluta gönderilmez iddiası genel WebAuthn akışı için doğru olsa da cihaz ve sağlayıcı politikaları incelenmelidir. Kurumlar yönetilen cihaz, senkronizasyon ve yedekleme koşullarını belgelemelidir. Kullanıcının passkey'i silmesiyle hizmetteki kaydın kaldırılması da farklı işlemler olabilir.

Siber güvenlik kariyerinde passkey bilgisi

SOC analisti yalnızca başarısız parola denemelerini değil; yeni doğrulayıcı kaydı, olağandışı kurtarma ve oturum davranışını da yorumlamalıdır. Uygulama geliştirici WebAuthn akışını, backend uzmanı challenge ve oturum bağını, güvenlik uzmanı ise tehdit modeli ve kayıt politikasını anlamalıdır.

Siber Güvenlik ve SOC Analistliği Kursu, kimlik olaylarını ağ ve uç nokta sinyalleriyle birlikte değerlendirmek için temel oluşturur. Web uygulaması tarafını geliştirmek isteyenler Web Tasarım Uzmanlığı Kursu ile istemci deneyimi ve JavaScript temelini güçlendirebilir.

Başlangıç projesi

Yerel bir demo uygulamasında parola yanında passkey kaydı ekleyin. Challenge'ın sunucuda üretildiğini, tek kullanımlı olduğunu ve oturumla bağlandığını doğrulayın. Yanlış origin, tekrar kullanılan challenge, silinmiş anahtar ve yeni cihaz senaryolarını test edin. Portfolyoda yalnızca çalışan ekranı değil; veri modeli, tehdit tablosu, kurtarma akışı ve olay kayıtlarını gösterin.

Passkey geçişi nasıl ölçülür?

Başarı yalnızca oluşturulan passkey sayısıyla ölçülmemelidir. Kayıt akışını tamamlama oranı, passkey ile başarılı giriş oranı, çapraz cihaz hataları, kurtarma başvuruları, destek süresi ve zayıf yönteme geri dönüş oranı birlikte izlenmelidir. Güvenlik tarafında yeni doğrulayıcı ekleme, şüpheli kurtarma ve ayrıcalıklı hesaplarda kullanılan doğrulayıcı türü raporlanabilir.

Metrikler kullanıcı grubu ve cihaz türüne göre ayrıştırılmadığında belirli bir tarayıcıdaki sorun gizlenebilir. Pilot sırasında başarısız adımlar kullanıcı rızası ve veri minimizasyonu gözetilerek kaydedilmelidir. Hedef, kullanıcıyı zorla yeni ekrana taşımak değil; kimlik avına dayanıklı yöntemi güvenilir ve anlaşılır varsayılan hâle getirirken erişimi kaybetme riskini azaltmaktır.

Sıkça sorulan sorular

Passkey paroladan daha güvenli mi?

Kimlik avı ve sunucudan parola özeti çalınması gibi yaygın risklere karşı daha dayanıklıdır. Cihaz, oturum ve kurtarma güvenliği yine gerekir.

Telefon kaybolursa hesap da kaybolur mu?

Senkronizasyon, yedek doğrulayıcı veya güvenli kurtarma varsa erişim sürdürülebilir. Hizmet bu senaryoyu açıkça tasarlamalıdır.

Biyometrik verim siteye gider mi?

WebAuthn akışında biyometri cihazdaki anahtarı açmak için yerel kullanılır; site imzalı sonucu alır.

Her tarayıcı passkey destekliyor mu?

Modern platformlarda destek yaygındır; hedef tarayıcı, cihaz ve çapraz cihaz akışı gerçek ortamda test edilmelidir.

Passkey tamamen şifresiz olmak zorunda mı?

Geçiş döneminde parola ve passkey birlikte bulunabilir. Ama zayıf kurtarma yolu toplam güvenliği sınırlar.

Passkey ile güvenlik anahtarı aynı mı?

Güvenlik anahtarı passkey saklayabilen doğrulayıcı türlerinden biridir. Passkey platform cihazında da tutulabilir.

Sonuç

Passkey, kullanıcıdan taşınabilir bir sır istemeden güçlü ve kimlik avına dayanıklı giriş sağlar. Gerçek güvenlik kazanımı, WebAuthn protokolünü doğru uygulamakla birlikte cihaz yaşam döngüsü, oturum, kurtarma, yetkilendirme ve olay izlemenin birlikte tasarlanmasına bağlıdır. 2026'da kimlik güvenliği çalışanları için passkey artık niş bir özellik değil, anlaşılması gereken temel bir mimaridir.

Kaynaklar

  1. FIDO Alliance: State of Passkeys 2026
  2. W3C: Web Authentication Level 3
  3. NIST: Digital Identity Guidelines — Authentication and Authenticator Management