Passkeys (Şifresiz Giriş) 2025’in en sıcak kurumsal kimlik doğrulama başlığıdır.
Parola, SMS OTP ve saldırıya açık push bildirimlerinin yerini; FIDO2 / WebAuthn tabanlı, phishing-resistant (oltalama dayanımlı) doğrulama alıyor. Windows 11 ve Edge tarafındaki gelişmelerle kurumsal geçiş eşiği ciddi biçimde düştü.
Bu rehberde; passkey’lerin ne olduğunu, 2025’te neden “şimdi” karar vermeniz gerektiğini, adım adım geçiş yol haritasını, mimari yaklaşımları, entegrasyon örneklerini, BYOD & kurtarma senaryolarını, KPI/ROI takibini ve genişletilmiş SSS’yi bulacaksınız.
- Passkeys Nedir? Parolalara Karşı Temel Farklar
- 2025’te Neden Şimdi? (Windows/Edge & FIDO ekosistemi)
- Passkey Türleri: Device-bound vs. Senkronize, Platform vs. Roaming
- Kurumsal Geçiş Yol Haritası (envanter → pilot → yaygınlaştırma)
- Mimari ve Akış: WebAuthn Seremonisi, RPID & Origin
- Entra ID / Okta / 1Password ile Entegrasyon Örnekleri
- Değişim Yönetimi: Eğitim, İletişim, Şampiyonlar
- Güvenlik & Uyumluluk: KVKK / ISO çerçevelerine katkı
- BYOD, MDM & Kiosk Senaryoları
- Kurtarma, Break-glass & Denetim İzleri
- KPI’lar & ROI: Ne kadar kazandırır?
- Sıkça Sorulan Sorular (Genişletilmiş)
- Mini Sözlük (Glossary)
Passkeys Nedir? Parolalara Karşı Temel Farklar
Passkey, kullanıcının cihazında güvenli biçimde saklanan bir özel anahtar ile sunucuda tutulan açık anahtar eşleşmesine dayanır. Doğrulama; parolayı ezberlemek yerine cihazdaki biyometri (parmak izi, yüz), PIN veya güvenli donanım ile yapılır.
| Özellik | Parola + SMS OTP | Passkeys (FIDO2/WebAuthn) |
|---|---|---|
| Phishing dayanımı | Düşük (kimlik avı ile çalınabilir) | Yüksek (alan adına bağlı kriptografik bağ) |
| Kullanıcı deneyimi | Yavaş (kod bekleme, yazma) | Hızlı (biyometriyle tek dokunuş) |
| Yönetim yükü | Parola sıfırlama, bilet yoğun | Azalır (self-service & daha az sıfırlama) |
| Uyumluluk riski | İhlal olasılığı yüksek | Düşer (güçlü kimlik doğrulama) |
İnvekor Uzman Görüşü: Passkey, kimlik doğrulamayı “kimin bildiği”nden (parola) “kimin sahip olduğu ve olduğu”na (cihaz + biyometri) taşır; bu değişim oltalama saldırılarının etkisini dramatik biçimde düşürür.
2025’te Neden Şimdi? (Windows/Edge & FIDO ekosistemi)
- Platform olgunluğu: Windows 11, Edge ve büyük tarayıcılar passkey senkronu ve güvenlik anahtarlarını ilk vatandaş yaptı.
- Kimlik sağlayıcı desteği: Entra ID (Azure AD), Okta vb. passkey’leri kurumsal politika düzeyinde yönetilebilir hale getirdi.
- Parola maliyeti: Help-desk’in en pahalı kalemlerinden biri parola sıfırlama. Passkeys, bu maliyeti kalıcı olarak aşağı çeker.
- Uyumluluk ve risk: KVKK/ISO 27001 gibi çerçevelerde phishing-resistant MFA talebi artıyor.
Passkey Türleri: Device-bound vs. Senkronize, Platform vs. Roaming
Device-bound (Cihaza bağlı) Passkeys
Özel anahtar tek bir cihazda kalır (ör. Windows Hello for Business). En yüksek güven ancak cihaz değişiminde kurtarma süreci gerekir.
Senkronize Passkeys
Şifreli kasalar üzerinden (ekosistem/uygulama) birden fazla cihaza senkron olur. Kullanılabilirlik artar, kasa güvenliği kritik hale gelir.
Platform vs. Roaming (Cross-platform) Anahtarlar
- Platform: Cihaza gömülü (TPM/SE). Son kullanıcı deneyimi için ideal.
- Roaming: Yubikey vb. taşınabilir güvenlik anahtarları. Kiosk/VDI ve yüksek riskli roller için önerilir.
Karar ipucu: Geniş kullanıcı kitlesinde senkronize + platform iyi bir varsayılandır. Kritik roller için ek olarak roaming donanım anahtarı tanımlayın.
Kurumsal Geçiş Yol Haritası (envanter → pilot → yaygınlaştırma)
1) Envanter & Hazırlık
- Mevcut MFA yöntemleri ve uygulama haritası (WebAuthn desteği).
- Cihaz uygunluğu ve tarayıcı sürümleri (Windows 11/10, iOS/Android, macOS).
- Politika taslağı: Hangi gruplar için zorunlu/opsiyonel?
- Minimum kurtarma politikası: En az bir yedek yöntem.
2) Pilot (4–6 hafta)
- Seed grup: IT + güvenlik + finans/İK gibi bir iş birimi.
- Self-service kayıt ve görsel rehberler (10 dakikalık modüller).
- Riskli roller için çift koruma (platform + donanım anahtarı).
- KPI’ların başlangıç değerlerini toplayın.
3) Yaygınlaştırma (8–12 hafta)
- Grup bazlı kurallar (Conditional Access / Sign-on Policy).
- BYOD yönergeleri: Gizlilik & uyumluluk dengesi.
- Runbook: Cihaz kaybı, yeni cihaz, geçici erişim.
- Haftalık adoption raporları, aylık gözden geçirme.
| Dönem | Çıktı | Not |
|---|---|---|
| 0–2 Hafta | Envanter, politika taslağı, pilot planı | Uyumsuz uygulamalar listelenir |
| 3–6 Hafta | Pilot kayıtları, eğitim, KPI ölçümü | Help-desk şablonları hazır |
| 7–12 Hafta | Yaygınlaştırma, zorunlu kurallar | Break-glass & denetim izi doğrulanır |
Mimari ve Akış: WebAuthn Seremonisi, RPID & Origin
WebAuthn, tarayıcı ve cihaz arasındaki kimlik doğrulama seremonisini tanımlar. Sunucu; doğru RPID (Relying Party ID) ve origin (kaynak) ile imzayı doğrular. İmza, etki alanına bağlı olduğu için kimlik avı siteleri işe yaramaz.
- RPID & Origin eşleşmesi: Yanlış eşleşmeler doğrulamayı başarısız kılar (güvenlik).
- Attestation (isteğe bağlı): Cihaz türünü doğrulamak için kullanılabilir.
- AAGUID takibi: Kayıtlı authenticator sınıflarını takip edin (envanter görünürlüğü).
- CTAP (donanım anahtarı): Tarayıcı ile güvenlik anahtarı arasında köprü.
Pratik not: Eski uygulamalar için modern auth proxy veya ön kapı (IdP tabanlı SSO) eklemek, geçişte kritik kolaylık sağlar.
Entra ID / Okta / 1Password ile Entegrasyon Örnekleri
Entra ID (Azure AD)
- Conditional Access: “Phishing-resistant MFA required” kuralı ile passkey’i zorunlu tut.
- Windows Hello for Business: Device-bound akış için ideal; donanım destekli.
- Self-service: Kayıt ve cihaz değişimi biletlerini azaltır.
Okta
- Sign-on Policy & Authenticators: WebAuthn (platform/cross-platform) önceliklendir.
- Risk-based auth: Şüpheli girişte ek doğrulama iste.
1Password / Parola Yöneticisi
- Passkey kasası: Cihazlar arası güvenli senkron.
- Rol bazlı erişim: Paylaşımlı cihaz/kiosk senaryolarında denetim izi.
İpucu: Global admin ve finans gibi kritik roller için platform passkey + roaming donanım anahtarı ikilisi standart hale getirilmeli.
Değişim Yönetimi: Eğitim, İletişim, Şampiyonlar
- Şampiyon ekip: Her birimde 1–2 gönüllü “passkey mentoru”.
- Mikro eğitimler: 5–10 dakikalık videolar, görseller.
- İç iletişim: SSS, kayıt bağlantıları, destek kanalları.
- Ödüllendirme: İlk 30 günde kayıt olanlara küçük teşvikler.
Güvenlik & Uyumluluk: KVKK / ISO çerçevelerine katkı
Passkeys, güçlü kimlik doğrulama gereksinimlerine doğrudan katkı sağlar. Oltalama dayanıklı akış sayesinde kimlik temelli ihlaller azalır; bu, risk matrisinde anlamlı düşüş demektir. İç denetimler için denetim izleri ve raporlama panolarıyla destekleyin.
BYOD, MDM & Kiosk Senaryoları
- BYOD: Kişisel cihazda yalnızca kurumsal hesap passkey’i; MDM/Endpoint protection ile temel hijyen.
- MDM Politikaları: Ekran kilidi, disk şifreleme, root/jailbreak engeli, tarayıcı sürümü.
- Kiosk/VDI: Roaming güvenlik anahtarı tercih edin; otomatik kilit ve sıkı oturum politikaları.
Kurtarma, Break-glass & Denetim İzleri
- Yedek yöntem: En az bir donanım anahtarı veya kurtarma passkey.
- Break-glass hesaplar: Parolası kasada, erişim iki yönetici onayıyla açılır.
- Devir-teslim: Cihaz kaybı/ayrılış süreçleri için standart runbook.
- Denetim: Kayıt/giriş/kurtarma olayları loglanır ve periyodik gözden geçirilir.
KPI’lar & ROI: Ne kadar kazandırır?
| Metrik | Ölçüm Yöntemi | Tipik Hedef |
|---|---|---|
| Giriş Başarı Oranı | Başarılı/Toplam giriş | %95+ (3 ay) |
| Help-desk Biletleri | Parola sıfırlama & MFA konuları | %40–60 azalma (6 ay) |
| Phishing Olayları | Kimlik avı kaynaklı ihlaller | Belirgin düşüş |
| Adoption | Passkey etkin kullanıcı yüzdesi | %70+ (90 gün) |
Sıkça Sorulan Sorular (Genişletilmiş)
Mini Sözlük (Glossary)
Terimler
- FIDO2
- Parolasız kimlik doğrulama için standartlar ailesi (WebAuthn + CTAP).
- WebAuthn
- Tarayıcı ve sunucu arasında kimlik doğrulama seremonisini tanımlar.
- CTAP
- Tarayıcı ile güvenlik anahtarı gibi authenticator’lar arasındaki protokol.
- RPID
- Relying Party ID. İmzanın doğru alan adına bağlanmasını sağlar.
- Attestation
- Authenticator’ın üretici/cihaz sınıfı hakkında sunucuya bilgi vermesi.
İç bağlantılar: Siber Güvenlik Hizmetleri · Blog · MFA Nedir? · EDR Nedir? · İletişim