Bloga Dön
Güvenlik7 okuma6 Temmuz 2026

Passkey Dönemi: Şifresiz Giriş Standart Olurken Siteniz Hazır mı?

Büyük platformlar birer birer şifreyi varsayılan olmaktan çıkardı. Passkey (geçiş anahtarı) nedir, oltalama saldırılarını neden kökten çözer ve kendi sitenize/uygulamanıza nasıl eklersiniz? 2026 durumu ve geçiş planı.

Ömer Faruk Genç

Ömer Faruk Genç

Full Stack Engineer

#Passkey#Şifresiz Giriş#WebAuthn#Güvenlik#Oltalama
Passkey Dönemi: Şifresiz Giriş Standart Olurken Siteniz Hazır mı?

Bankanıza telefonunuzun yüz tanımasıyla, e-posta hesabınıza parmak iziyle giriyorsunuz. 2026 itibarıyla büyük platformların çoğu yeni hesaplarda şifreyi varsayılan yöntem olmaktan çıkardı; passkey (geçiş anahtarı) artık niş bir özellik değil, kullanıcıların alıştığı standart. Soru şu: kendi siteniz ve uygulamanız hâlâ "şifre + SMS kodu" ile mi çalışıyor?

Passkey Nedir, Neden Daha Güvenli?

Passkey, WebAuthn/FIDO2 standardına dayanan bir kimlik doğrulama yöntemi. Kaba tarifle: şifre yerine, cihazınızda saklanan bir kriptografik anahtar çifti kullanılır; kimliğinizi cihazınızın kilidiyle (biyometri ya da PIN) kanıtlarsınız.

Kritik fark: çalınacak bir şifre yok.

ŞifrePasskey
Oltalama (phishing)En büyük riskTeknik olarak çalışmaz — anahtar yalnızca gerçek alan adıyla eşleşir
Veri sızıntısıŞifre veritabanı hedeftirSunucuda gizli anahtar tutulmaz
Kullanıcı deneyimiUnutma, sıfırlama, SMS beklemeTek dokunuş / bakış
Destek maliyeti"Şifremi unuttum" talepleriBelirgin şekilde azalır

Oltalama, Türkiye'de KOBİ'lere yönelik en yaygın saldırı türü olmayı sürdürüyor; sahte giriş sayfasına yazılacak bir şifre kalmadığında bu saldırı sınıfı kökünden çözülür.

İşletmenize Getirisi Güvenlikten İbaret Değil

  • Dönüşüm: Kayıt ve giriş sürtünmesi azalır; özellikle mobilde sepette kaybettiğiniz kullanıcıların bir kısmı geri gelir.
  • SMS maliyeti: Doğrulama SMS'lerine ödenen fatura küçülür.
  • Destek yükü: Şifre sıfırlama talepleri en sık destek konusu olmaktan çıkar.

Nasıl Geçilir? Aşamalı Plan

  1. Aşama 0 — Envanter: Hangi sistemlerde giriş var (site, panel, mobil uygulama), hangi kimlik altyapısını kullanıyorsunuz?
  2. Aşama 1 — Paralel sunum: Şifre kalır, passkey seçenek olarak eklenir. Modern kimlik servislerinin çoğunda bu birkaç günlük iştir; özel geliştirmelerde WebAuthn kütüphaneleriyle kurulur.
  3. Aşama 2 — Varsayılan yapma: Yeni kayıtlar passkey ile açılır, şifre yedek yönteme düşer.
  4. Aşama 3 — Riskli akışları sadeleştirme: SMS OTP gibi hem pahalı hem zayıf adımlar kademeli kaldırılır.

Kurumsal panellerde (CRM, ERP, yönetim ekranları) geçişin önceliği daha da yüksek: en değerli verinin kapısı orası ve saldırganın da ilk baktığı yer.

Sık Sorulan İki Soru

Kullanıcı cihazını kaybederse? Passkey'ler işletim sistemi hesabıyla (ve çoğu senaryoda bulutla) senkronize olur; ayrıca kurtarma yöntemi olarak e-posta doğrulaması ya da ikinci cihaz tanımlanır.

Eski tarayıcılar? 2026 itibarıyla güncel tarayıcı ve işletim sistemlerinin tamamına yakını destekliyor; desteklemeyen azınlık için şifre yedek yöntem olarak kalıyor zaten.

Sonuç

Şifresiz giriş "gelecek trendi" aşamasını geçti; kullanıcı alışkanlığı hâline geldi. Sitenize passkey eklemek hem güvenlik hem dönüşüm tarafında ölçülebilir kazanım sağlıyor. Mevcut giriş altyapınızın passkey'e geçiş maliyetini görmek isterseniz ücretsiz ön değerlendirme için yazın.