Başlıksız kimlik doğrulama anahtarları (FIDO2) Windows ve tarayıcılar için: erişimi kaybetmeden parolalardan vazgeçme
Başlıksız kimlik doğrulama anahtarları (passkey), Windows bilgisayarlarda parolaların yerine geçebilecek olgunluğa artık ulaştı. Kimlik avına (phishing) karşı daha dayanıklıdır; çünkü çalınabilecek bir “gizli şifre dizesi” yoktur ve giriş, güvenilen cihaz + ekran kilidi açma (PIN, parmak izi veya yüz) ile doğrulanır. 2026’da asıl zorluk passkey oluşturmak değil; güvenli geçiş yapmaktır: anahtarların nerede tutulacağına karar vermek, ihtiyaç duyulmadan önce kurtarmayı kurmak ve hâlâ parola isteyen eski hizmetlerde erişimi korumak.
Passkey’ler pratikte nasıl çalışır (ve neden kimlik avını engeller)
Passkey, açık anahtarlı kriptografiye dayanan bir FIDO2/WebAuthn kimlik bilgisidir. Belirli bir site veya uygulama için oluşturduğunuzda cihazınız bir anahtar çifti üretir: sizde güvenli şekilde korunan bir özel anahtar ve hizmetin sakladığı bir açık anahtar. Giriş sırasında hizmet bir meydan okuma (challenge) gönderir ve cihazınız bunu özel anahtarla imzalar; böylece hiçbir zaman parola yazmadan doğrulama yapılır.
Bu yüzden passkey’ler kimlik avına karşı çok güçlüdür. Sahte bir site, gerçek siteye giriş yapmak için passkey’i kullanamaz; çünkü WebAuthn, giriş isteğini gerçek alan adına (domain) bağlar. Benzer görünen bir sayfaya yönlendirilseniz bile, passkey akışı yanlış kaynağa (origin) karşı tamamlanmaz ve ortada teslim edilecek bir parola da yoktur.
Windows’ta passkey ile giriş genellikle Windows Hello üzerinden yürür. Yani girişte yaptığınız şey, bilgisayar kilidini açarken kullandığınız hareketle aynıdır: Windows Hello PIN’i veya yapılandırdıysanız biyometri. Windows 11’de Windows Hello’yu (en azından PIN’i) kurmak, passkey kullanımını akıcı hâle getiren temel adımdır.
Windows Hello, FIDO2 ve özel anahtarın gerçekte nerede tutulduğu
Tipik bir Windows 11 kurulumunda Windows Hello, passkey’ler için kullanıcı doğrulama adımıdır. Yüz veya parmak izi etkinse bu pencereyi görürsünüz; değilse Windows Hello PIN’i devreye girer. Bu normaldir ve Windows Hello PIN’inin kalitesinin neden önemli olduğunu açıklar: onu sadece “kolaylık kodu” gibi değil, güvenlik kontrolü gibi düşünmek gerekir.
2026’da passkey’lerin iki yaygın “saklama yeri” vardır. İlki, cihaz doğrulayıcısıdır (PC veya telefon); cihazın güvenli donanımı ve kilit açma yöntemiyle korunur. İkincisi ise senkronize bir kasa/vault’tur (örneğin üretici hesabına bağlı bir kimlik deposu); siz kimlik doğruladıktan sonra passkey’i diğer güvenilen cihazlara da taşıyabilir. Dengesi nettir: sadece cihazda tutmak doğal olarak daha sınırlıdır; senkronize saklama daha rahattır ama güçlü hesap koruması ve doğru kurtarma ayarlarına dayanır.
Son olarak donanım güvenlik anahtarları (çoğu zaman “FIDO2 anahtarı” denir) da passkey saklayabilir. Yedek olarak harikadır; çünkü tek bir telefona bağlı kalmaz. Pek çok kullanıcı için en mantıklı düzen şudur: günlük rahatlık için ana cihazlarda passkey, “her ihtimale karşı” için de güvenli yerde saklanan bir donanım anahtarı.
Parolalardan geçişi 20–30 dakikada yapmak (eski hesapları bozmadan)
Önce en kritik hesapları ele alın: e-posta, kullandığınız parola yöneticisi, Apple/Google/Microsoft hesapları ve destekleniyorsa bankacılık. Bunlar “kök hesaplar”dır; çünkü kurtarmayı ve diğer her şeye erişimi belirler. Passkey eklemeden önce her hesapta kurtarma seçeneklerinin güncel olduğundan emin olun: ikinci faktör, kurtarma e-postası, kurtarma telefonu ve varsa kurtarma kodları (offline saklamak üzere).
Sonra passkey’i en az iki yerde etkinleştirin: (1) günlük kullandığınız ana cihazda (telefon veya birincil PC) ve (2) bir yedek erişim yolunda. Yedek, zaten sahip olduğunuz başka bir cihaz (tablet, ikinci laptop) ya da donanım güvenlik anahtarı olabilir. Amaç “karmaşık olmak” değil; tek noktadan arıza riskini ortadan kaldırmaktır.
Son olarak ilk gün “tüm parolaları silmek” zorunda değilsiniz. Birçok hizmet, eski uygulamalar, eski cihazlar veya hesap kurtarma akışları için parolayı yedek seçenek olarak tutar. Mantıklı geçiş şudur: passkey ekleyin, ikinci bir cihaz/tarayıcıda test edin, kurtarmanın çalıştığını doğrulayın; sonra hizmet gerçekten parolasız çalışmayı destekliyorsa parolayı kaldırmayı düşünün.
Henüz passkey desteklemeyen hizmetlerle ne yapılmalı?
Eski hizmetlerde en güvenli yaklaşım, parola yöneticisinin ürettiği güçlü ve benzersiz bir parola kullanmak ve mümkünse ikinci faktör eklemektir (TOTP uygulaması, onay bildirimi veya donanım anahtarı). Passkey çok iyi, ancak bazı girişler parola tabanlı kalacak diye diğer yerlerde güvenliği gevşetmek doğru olmaz.
Hizmet “Microsoft/Google/Apple ile giriş” sunuyorsa bunu geçiş köprüsü olarak değerlendirebilirsiniz. Kimlik sağlayıcı hesabınızı passkey ile koruyarak ayrı parola sayısını azaltırsınız. Bu yaklaşım kurtarmayı da kolaylaştırır; çünkü güvenliği yüksek birkaç hesapta merkezîleştirirsiniz.
Bir hizmet kurtarma için SMS’i zorunlu tutuyorsa bunu risk olarak görün ve telafi edin: operatörünüzde numara güvenlik önlemlerini etkinleştirin, hesap uyarılarını açın, kurtarma kodlarını offline saklayın. Amaç, passkey’e geçene kadar en zayıf halkayı daha az sömürülebilir hâle getirmektir.
Kurtarma planı: kaybolan telefon, değişen PC ve paylaşımlı/iş cihazları
En sık yaşanan sorun senaryosu basittir: kişi telefonda passkey kurar, telefonu kaybeder ve kurtarmayı hiç tamamlamadığını fark eder. Bunu önlemek için “cihazımı kaybedersem ne olacak?” senaryosunu en baştan planlayın. Geri dönüş için en az iki bağımsız yol hedefleyin: hâlihazırda oturum açık ikinci bir güvenilen cihaz veya bir donanım güvenlik anahtarı; buna ek olarak da doğrulanmış hesap kurtarma seçenekleri.
Passkey’ler bir üretici hesabı üzerinden senkronize ediliyorsa kurtarma, o hesabın güvenliğine bağlıdır. Bu yüzden güçlü giriş koruması (passkey + varsa ek doğrulama), kurtarma kanallarının dikkatle yönetilmesi gerekir. Kurtarma e-postanız zayıfsa veya telefon numaranız kolay ele geçirilebiliyorsa, senkronize passkey’ler dolaylı yoldan daha kolay hedef olur.
Paylaşımlı PC’lerde ve yönetilen iş cihazlarında ekstra dikkat gerekir. Kişisel passkey’leri paylaşımlı bir Windows profilinde saklamak genellikle iyi fikir değildir. İş tarafında kurum politikasına uyun: birçok ekip Windows Hello for Business, cihaz uyumluluğu veya belirli kimlik sağlayıcıları ister. Emin değilseniz, kişisel ve iş girişlerini ayrı tutun; taşınabilir ve politika dostu bir seçenek olarak donanım anahtarlarını tercih edin.
Ev ve iş PC’si kontrol listesi (erişimi kaybetmemek için)
Ev PC’si için: Windows Hello’yu kurun (PIN ve varsa biyometri), cihaz şifrelemesinin etkin olduğundan emin olun (uygun sürümlerde BitLocker), Microsoft/Google/Apple hesabı kurtarma seçeneklerini güncel tutun. Önemli bir hesap için en az bir passkey ekleyin, iki farklı tarayıcıda test edin ve ikinci bir cihazdan da giriş yapabildiğinizi kontrol edin.
İş PC’si için: sadece onaylı tarayıcıları ve hesap türlerini kullanın; üçüncü taraf kimlik sağlayıcıların izinli olup olmadığını doğrulayın. Kurumunuz koşullu erişim veya güvenlik anahtarı şartı koyuyorsa, bir donanım anahtarını erken kaydedin ve erişilebilir yerde tutun. Kurtarma yolunu ekibin güvenli prosedürlerinde belgelendirin (herkese açık dosyada veya sohbet kanallarında değil).
Her iki senaryo için de: bir offline yedek yöntem saklayın. En pratik çözüm, güvenli bir yerde duran bir donanım güvenlik anahtarı ve kök hesaplarınız için yazdırılmış veya offline saklanan kurtarma kodlarıdır. Eski usul görünebilir; ama telefon kaybı, laptop hırsızlığı veya seyahatte cihaz doğrulamasına takılma gibi durumlarda gerçekten hayat kurtarır.
