Passkey (Geçiş Anahtarı) Nedir?

İngilizce: Passkey

Passkey, parola yerine cihazdaki özel anahtar ve biyometrik/PIN onayıyla çalışan, phishing'e dayanıklı oturum açma yöntemidir.

Passkey (Geçiş Anahtarı) Nedir?

Passkey, parola göndermeden oturum açmayı sağlayan açık anahtar tabanlı kimlik bilgisidir. Kullanıcının cihazında özel anahtar saklanır; servis tarafında ise yalnızca açık anahtar bulunur. Giriş sırasında site bir meydan okuma üretir, cihaz özel anahtarla imzalar ve kullanıcı biyometri, PIN veya cihaz kilidiyle işlemi onaylar.

Passkey’ler domain’e bağlı çalıştığı için sahte bir alan adına taşınmaları zordur. Bu özellik, klasik parola ve SMS kodlarına göre phishing riskini ciddi biçimde azaltır. Ayrıca her site için farklı bir anahtar çifti üretildiğinden bir servisten sızan veri başka servislerde tekrar kullanılamaz.

MFA ve OAuth2 ile İlişkisi

Passkey tek faktörlü parolasız giriş olarak kullanılabilir veya MFA akışında güçlü bir faktör olabilir. 2FA kodlarından farklı olarak kullanıcının kopyalayıp sahte siteye yazacağı bir değer üretmez. OAuth2 gibi yetkilendirme protokolleriyle birlikte çalışabilir; örneğin kimlik sağlayıcı passkey ile kullanıcıyı doğrulayıp uygulamaya token verebilir.

Kurumsal kullanımda cihaz kaybı, yedek passkey, hesap kurtarma ve yönetilen cihaz politikaları baştan tasarlanmalıdır. Passkey güvenliği güçlüdür, fakat zayıf kurtarma süreci saldırganın hesabı başka yoldan ele geçirmesine izin verebilir.