Bir hesaba her oturum açtığımızda veya bir aygıtın kilidini her açtığımızda, buna erişim yetkimiz olduğunu kanıtlamamız gerekir. Tarihsel olarak bu kanıt, parola biçiminde olmuştur: ezberlememiz veya bir parola yöneticisinde saklamamız gereken gizli bir karakter dizisi.
Geçiş anahtarı, paroladan şu açıdan farklıdır: erişimi fiziksel olarak sahip olduğunuz bir şeye — telefonunuzda, dizüstü bilgisayarınızda veya güvenlik anahtarınızda depolanan kriptografik bir kod (belirteç) — ve parmak izi ya da yüz taraması gibi bir biyometrik faktöre bağlar.
Bu farkı açıklamanın yaygın bir yolu şudur:
- Parola = bildiğiniz bir şey
- Geçiş anahtarı = sahip olduğunuz bir şey + kim olduğunuz
Her iki yöntem de size erişim sağlasa da, bu hedefe ulaşma biçimleri farklıdır ve güvenlik ile kullanılabilirlik üzerinde önemli etkiler yaratabilir.
Geçiş anahtarı nedir?
Bir geçiş anahtarı, aygıtınızda bulunan ve oturum açtığınız hesaplar tarafından kriptografi kullanılarak doğrulanabilen bir parola gibidir. Geçiş anahtarları, FIDO2 standardına ( FIDO Alliance(yeni pencere) tarafından tanımlanır) ve WebAuthn API’sine dayanır.
Nasıl çalıştığını aşağıda bulabilirsiniz:
Bir geçiş anahtarı oluşturulduğunda, parola yöneticiniz eşleştirilmiş bir kriptografik anahtar kümesi üretir: bir herkese açık anahtar ve bir kişisel anahtar.
- Herkese açık anahtar, kayıt olduğunuz hizmetle paylaşılır.
- Kişisel anahtar, parola yöneticinizde veya aygıtınızda kalır ve asla oradan çıkmaz.
Bir oturum açma girişimi sırasında hizmet rastgele bir sorgu oluşturur. Aygıtınız, bu sorguyu imzalamak için aygıtınızdaki kişisel anahtarı kullanır ve yalnızca eşleşen kişisel anahtarın üretebileceği bir yanıt oluşturur. Hizmet daha sonra daha önce depolanmış herkese açık anahtarla imzayı doğrular ve sizin meşru hesap sahibi olduğunuzu onaylar.
Kişisel anahtar aygıtınızdan hiçbir zaman çıkmadığı için bir kimlik avı girişimi sitesi, sizi bunu teslim etmeye kandıramaz; bu da geçiş anahtarlarını doğası gereği kimlik avı girişimlerine dayanıklı hâle getirir.
Geçiş anahtarları hakkında daha fazla bilgi edinin
Güvenlik karşılaştırması: Geçiş anahtarı ve parola
Parola mı yoksa geçiş anahtarı mı kullanacağınız çeşitli faktörlere bağlıdır. Her site, seçenek olarak geçiş anahtarı sunmaz. Ancak bunu sunan siteler için geçiş yapmayı değerlendirmeniz adına çeşitli nedenler vardır.
Geçiş anahtarları, gizli anahtar aygıtınızdan asla çıkmadığı için parolalardan daha güvenli kabul edilir. Birisi sahte bir siteyle sizi kandırsa, ağ trafiğini ele geçirse veya bir kaba kuvvet saldırısı girişiminde bulunsa bile kişisel anahtarı ele geçiremez — bu anahtar telefonunuzun, bilgisayarınızın veya bir güvenlik anahtarı donanımının içinde tutulur. Aygıtınızı bir PIN, parmak izi veya başka bir iki adımlı doğrulama (2FA) biçimiyle koruduğunuz ve güvenilir bir kurtarma yönteminiz olduğu sürece, geçiş anahtarı size normal bir parolaya kıyasla daha güçlü ve kimlik avı girişimlerine karşı daha dayanıklı bir güvenlik kurulumu sunar.
| Özellik | Geçiş anahtarları | Parolalar |
| Kimlik doğrulama yöntemi | Açık anahtar kriptografisi (kişisel anahtar aygıtta depolanır) | Kullanıcının ezberlediği gizli karakter dizisi |
| Kimlik avı girişimlerine dayanıklılık | Yüksek | Düşük |
| Kurtarma seçenekleri | Aygıt yedeği, hesap kurtarma akışı | E-posta ile sıfırlama, güvenlik soruları |
| Kullanıcı deneyimi | Biyometrik veriler veya PIN | Yazma veya otomatik doldurma |
| Uyumluluk | Artıyor | Evrensel destek |
| Yeniden kullanım açığı | Her site için her zaman benzersiz | Yaygın sorun |
Geçiş anahtarı kullanılabilirliği ve kullanıcı deneyimi
Geçiş anahtarı kullanmanın güvenlik avantajlarının yanı sıra başka faydaları da vardır:
- Geçiş anahtarları, kimlik doğrulama akışını tek bir dokunuşa veya bakışa indirdiği için oturum açmayı hızlandırır; böylece parolaları manuel olarak yazma veya unutulan parolaları sıfırlama zahmeti ortadan kalkar.
- Birçok parola yöneticisi, geçiş anahtarlarını aygıtlarınız arasında güvenli şekilde senkronize edebilir. Sonuç olarak, akıllı telefonda oluşturulan bir geçiş anahtarı; yeniden kayıt gerektirmeden dizüstü bilgisayarda, tablette veya başka bir telefonda kullanılabilir. Proton Pass, her platformda ve aygıtta çalışır; böylece geçiş anahtarlarını destekleyen herhangi bir sitede kullanabilirsiniz.
Geçiş anahtarlarının dezavantajları ve uç durumlar
Geçiş anahtarları güçlü güvenlik ve sorunsuz bir oturum açma deneyimi sunsa da her sorunu çözen sihirli bir çözüm değildir. Geçiş anahtarı kullanmanın zorluk çıkarabileceği bazı durumlar hâlâ vardır.
Aygıt kaybı ve kurtarma
Geçiş anahtarınızın depolandığı aygıt kaybolur, çalınır veya hasar görürse erişimi yeniden kazanmak için yedek mekanizmalara güvenmeniz gerekir. Bir geçiş anahtarını kurtarmak çoğu zaman ikincil bir aygıt veya bir kurtarma ifadesi gerektirir; bu nedenle iyi tasarlanmış bir kurtarma akışınız yoksa hesaplarınıza erişimi kaybetme riskiyle karşı karşıya kalırsınız.
Benimseme boşlukları
Bazı siteler ve uygulamalar, geçiş anahtarlarını mümkün kılan WebAuthn/FIDO2 standartlarını henüz uygulamaya koymamıştır. Bunu uygulayanlar arasında bile geçiş anahtarı desteği sınırlı olabilir ve belirli ekosistemler veya işletim sistemleriyle sınırlı kalabilir.
Eski donanım sınırlamaları
Eski akıllı telefonlar, biyometrik sensörü olmayan dizüstü bilgisayarlar veya WebAuthn desteğinden yoksun tarayıcılar gibi eski aygıtlar geçiş anahtarları oluşturamaz ya da depolayamaz.
Hâlâ ne zaman parolaya ihtiyaç duyarım?
Geri dönüş seçeneği olarak bir parolanın ayarlanmış olmasına ek olarak, bazı durumlarda birincil erişim yöntemi olarak geleneksel bir parola gerekir.
1. Geçiş anahtarı desteği olmayan siteler
Geçiş anahtarlarının yaygın şekilde benimsenmesine kadar bazı siteler için hâlâ parolalara güvenmeniz gerekebilir. Bu durumda güvenliği artırmak için OTP gibi İki adımlı doğrulama yöntemleri ayarlayabilirsiniz.
2. Herkese açık veya paylaşılan bilgisayar senaryoları
Kendi aygıtınızı kullanmıyorsanız parola yazmak (ideal olarak İki adımlı doğrulama ile birlikte) kalıcı kimlik doğrulama bilgileri bırakmadan geçici erişim sağlar.
3. Kurumsal ilkeler ve uyumluluk gereksinimleri
Devlet veya finans standartları dâhil şirket düzenlemeleri, hâlâ parola bileşeni içeren çok faktörlü kurulumları gerektirebilir veya denetim amaçlarıyla parolaların belirli aralıklarla değiştirilmesini zorunlu kılabilir. Ayrıca kurumsal tek oturum açma (SSO) çözümleri bazen geçiş anahtarlarını yalnızca isteğe bağlı bir faktör olarak entegre eder ve parolalar birincil kimlik doğrulama bilgisi olmaya devam eder.
Geçiş anahtarları nasıl benimsenir
Geçiş anahtarlarına geçmek nispeten basittir.
- İşletim sisteminizde geçiş anahtarı desteğini etkinleştirin
- Bir parola yöneticisi indirin
- Proton Pass gibi, geçiş anahtarı depolamayı destekleyen bir parola yöneticisi seçin.
- Geçiş anahtarlarını parola yöneticinize ekleyin
- Mevcut geçiş anahtarlarını içe aktarın veya doğrudan uygulamadan yenilerini oluşturun.
- Geçiş anahtarlarını desteklenen hizmetlere kaydedin
- “Geçiş anahtarıyla oturum aç” seçeneği sunan bir sitede hesap açtığınızda veya oturum açtığınızda bu seçeneği seçin.
- Bir kurtarma yöntemi ayarlayın
- Geçiş anahtarının bir kopyasını depolamak için ikincil bir aygıtı etkinleştirin ve hizmetin sağladığı tüm kurtarma ifadelerini not edin.
SSS
Parola yöneticim yoksa geçiş anahtarı kullanabilir miyim?
Evet, kullanabilirsiniz. Modern işletim sistemlerinin çoğu geçiş anahtarlarını yerel olarak depolar (Apple aygıtlarında iCloud Keychain, Android’de Google Password Manager, Windows’ta Windows Hello). Özel bir parola yöneticisi, aygıtlar arası senkronizasyonu kolaylaştırabilir ve ek bir yedek katmanı sağlayabilir; ancak geçiş anahtarlarını kullanmak için zorunlu değildir.
Eski aygıtlarda geçiş anahtarı kullanabilir miyim?
Geçiş anahtarları, işletim sisteminin ve tarayıcının WebAuthn/FIDO2 standartlarını desteklemesini gerektirir. Modern platformlar (iOS 15+, Android 14+, güncel macOS, Windows 10 1903+ ve güncel Chrome/Edge/Firefox/Safari) ek kurulum gerektirmeden çalışır. Daha eski telefonlar, eski tarayıcılar veya iOS 15/Android 13 öncesi aygıtlar bu desteğe sahip değildir; bu nedenle bu aygıtlarda geçiş anahtarı kullanamazsınız.
Geçiş anahtarı ile fiziksel bir kod (belirteç) arasındaki fark nedir?
Geçiş anahtarı, bir aygıtta veya parola yöneticisinde depolanan ve aygıtlarınız arasında güvenli şekilde senkronize edilen bir kimlik doğrulama bilgisidir. Fiziksel bir kod (belirteç) (örneğin YubiKey), aygıtınıza takmanız gereken bağımsız bir donanım anahtarıdır. Fiziksel bir kod (belirteç), kişisel anahtarı ana aygıtta depolamaz; bu, yalıtım sağlar, ancak kodu (belirteç) yanınızda taşımanızı ve yedekleri yönetmenizi gerektirir. Her iki seçenek de parolasız ve kimlik avı girişimlerine dayanıklı kimlik doğrulama sağlar; ancak geçiş anahtarları kullanım kolaylığına ve senkronizasyona, fiziksel kod (belirteç) ise donanımsal yalıtıma öncelik verir.
Windows PC’mde geçiş anahtarı kullanabilir miyim?
Evet, modern Windows 10/11 sürümleri Windows Hello aracılığıyla geçiş anahtarlarını destekler. Ayarlar’da “Parolasız oturum açma” seçeneğini etkinleştirdikten sonra, güvenilir platform modülünde (TPM) depolanan kişisel anahtarın kilidini açan bir parmak izi, yüz tanıma veya PIN ile kayıt olabilir ve kimlik doğrulaması yapabilirsiniz. TPM, çoğu modern PC, dizüstü bilgisayar ve bazı tabletlerde bulunan küçük, kurcalamaya dayanıklı bir çiptir. Amacı, güvenlik açısından kritik işlemler için donanım tabanlı bir güven kökü sağlamaktır.
Telefonumu kaybedersem ne olur?
Telefonunuz bir geçiş anahtarının tek kopyasını tutuyorsa erişimi kurtarmak için önceden yapılandırılmış bir yedek yönteme ihtiyacınız olacaktır. Bu genellikle başka bir aygıt, bir parola yöneticisi veya hizmet tarafından sağlanan bir kurtarma ifadesidir. Yedek olmadan, hizmetin hesap kurtarma akışını izlemeniz gerekir.
