Passkey (Geçiş Anahtarı) Nedir?
İngilizce: Passkey
Passkey, parola yerine cihazdaki özel anahtar ve biyometrik/PIN onayıyla çalışan, phishing'e dayanıklı oturum açma yöntemidir.
Passkey (Geçiş Anahtarı) Nedir?
Passkey, parola göndermeden oturum açmayı sağlayan açık anahtar tabanlı kimlik bilgisidir. Kullanıcının cihazında özel anahtar saklanır; servis tarafında ise yalnızca açık anahtar bulunur. Giriş sırasında site bir meydan okuma üretir, cihaz özel anahtarla imzalar ve kullanıcı biyometri, PIN veya cihaz kilidiyle işlemi onaylar.
Passkey’ler domain’e bağlı çalıştığı için sahte bir alan adına taşınmaları zordur. Bu özellik, klasik parola ve SMS kodlarına göre phishing riskini ciddi biçimde azaltır. Ayrıca her site için farklı bir anahtar çifti üretildiğinden bir servisten sızan veri başka servislerde tekrar kullanılamaz.
MFA ve OAuth2 ile İlişkisi
Passkey tek faktörlü parolasız giriş olarak kullanılabilir veya MFA akışında güçlü bir faktör olabilir. 2FA kodlarından farklı olarak kullanıcının kopyalayıp sahte siteye yazacağı bir değer üretmez. OAuth2 gibi yetkilendirme protokolleriyle birlikte çalışabilir; örneğin kimlik sağlayıcı passkey ile kullanıcıyı doğrulayıp uygulamaya token verebilir.
Kurumsal kullanımda cihaz kaybı, yedek passkey, hesap kurtarma ve yönetilen cihaz politikaları baştan tasarlanmalıdır. Passkey güvenliği güçlüdür, fakat zayıf kurtarma süreci saldırganın hesabı başka yoldan ele geçirmesine izin verebilir.
İlgili Terimler
2FA, oturum açarken şifreye ek olarak telefon, doğrulama uygulaması veya donanım anahtarıyla ikinci kanıt isteyen yöntemdir.
Biyometrik Kimlik DoğrulamaBiyometrik kimlik doğrulama, yüz veya parmak izi gibi cihaz biyometrilerini oturum açma ve onay adımlarında kullanır.
MFAMFA, girişte parola dışında cihaz, uygulama, biyometri veya güvenlik anahtarı gibi ek doğrulama faktörleri ister.
OAuth 2.0OAuth 2.0, üçüncü taraf uygulamaların kullanıcı şifresi olmadan kaynaklara erişmesini sağlayan yetkilendirme çerçevesidir.
WebAuthnWebAuthn, tarayıcıların cihaz güvenlik anahtarları ve passkey'lerle güçlü, parolasız kimlik doğrulama yapmasını sağlayan web standardıdır.