← Tüm terimler
Tek Kullanımlık Parola (OTP / TOTP)

Tek kullanımlık parola (OTP / TOTP) nedir?

Tek kullanımlık parola, tek bir oturum veya işlem için geçerli kısa bir koddur. En yaygın biçimi TOTP, ortak bir sırdan zamana bağlı kodlar üretir.

Son güncelleme: 14 Temmuz 2026

Tek kullanımlık parolalar nasıl çalışır

Tüm OTP şemaları, kullanıcının cihazı ile sunucu arasında bir kez kurulan ortak bir sırla başlar; bu genellikle bir doğrulayıcı uygulamaya QR kodu taratılarak yapılır. TOTP (zamana bağlı OTP, RFC 6238) bu sırrı geçerli zamanla birleştirir, karmasını alır ve sonucu her 30 saniyede bir değişen 6 haneli bir koda indirger. Daha eski, sayaç tabanlı varyant olan HOTP ise saat yerine her kullanımda artan bir sayaç kullanır.

Oturum açarken kullanıcı geçerli kodu girer; aynı sırra ve aynı saate sahip sunucu beklenen değeri hesaplayıp karşılaştırır. Hiçbir kodun cihaz ile sunucu arasında önceden taşınması gerekmez ve kodlar saniyeler içinde geçersizleştiği için yakalanan bir kodu tekrar kullanmak hızla anlamsızlaşır. SMS ve e-posta OTP'leri farklı çalışır: sunucu rastgele bir kod üretip ağ üzerinden iletir; bu da onları iletim kanalının güvenliğine bağımlı kılar.

OTP neden önemli

OTP, dünyada en yaygın kullanılan ikinci faktördür. Kimlik doğrulamayı yalnızca bildiğiniz bir şeyden, bildiğiniz artı sahip olduğunuz bir şeye dönüştürür; bu da en yaygın saldırıyı, yani başka ihlallerden çalınan parolalarla yapılan credential stuffing denemelerini boşa çıkarır. Elinde yalnızca parola olan saldırgan OTP adımında takılır.

Ancak tüm OTP kanalları eşit değildir. SMS kodları SIM kartı değiştirme ve dinleme saldırılarına açıktır; güvenlik önerilerinin giderek uygulama tabanlı TOTP'ye kaymasının nedeni budur. Hiçbir OTP türü de oltalamaya tam dirençli değildir: gerçek zamanlı bir vekil site, yeni yazılan kodu geçerlilik süresi içinde asıl servise aktarabilir. Bu kalan riski numara eşleştirmeli anlık bildirimler azaltır, oltalamaya dirençli geçiş anahtarları ise tamamen ortadan kaldırır. Yine de OTP, çıtayı yalnızca parolaya göre ciddi biçimde yükseltir ve pragmatik temel faktör olmayı sürdürür.

Uygulamada OTP

TOTP'yi devreye almak, MFA'daki en hızlı kazanımlardan biridir: doğrulayıcı uygulamalar ücretsizdir, çevrimdışı çalışır ve QR koduyla saniyeler içinde kaydolur. Kurulumun kalitesini operasyonel ayrıntılar belirler: kayıt akışının kendisini güvenceye alın, kaybolan cihazlar için karma olarak saklanan tek kullanımlık yedek kodlar sağlayın, doğrulama denemelerine hız sınırı koyun ve TOTP küçük sapmalara ancak tolerans gösterdiğinden sunucu saatlerini doğru tutun.

Olgun programlar TOTP'yi bir yelpazenin basamağı olarak görür: kolaylık için anlık bildirim onayına, en güçlü güvence için geçiş anahtarlarına geçilir; kodun ne zaman isteneceğine ise risk politikaları karar verir. Monosign, MFA seçenekleri arasında TOTP'yi anlık bildirim ve geçiş anahtarlarıyla birlikte sunar; VPN ve ağ girişlerinde de RADIUS üzerinden OTP kodu isteyebilir.

Sık sorulan sorular

OTP, TOTP ve HOTP arasındaki fark nedir?
OTP, tek kullanımlık her kodun çatı terimidir. TOTP, kodları ortak sır ile geçerli zamandan türetir ve kodlar 30 saniyede bir değişir; doğrulayıcı uygulamaların kullandığı yöntem budur. HOTP ise kodları sır ile bir kullanım sayacından türetir; kod kullanılana dek geçerli kalır. Bu, saati olmayan donanım anahtarlarına uyar ama çalınan kodları daha riskli yapar.
SMS ile OTP kullanmak güvenli mi?
Tek başına paroladan anlamlı ölçüde iyidir; ancak en zayıf OTP kanalıdır. SIM kartı değiştirme saldırıları, saldırganların telefon numarasını devralıp kodları almasına imkân verir; SS7 düzeyinde dinleme de belgelenmiştir. NIST dahil standart kuruluşları, değeri yüksek erişimler için SMS'i önermez; doğrulayıcı uygulamaları, anlık bildirim onayını veya geçiş anahtarlarını tercih edin, SMS'i en fazla yedek olarak tutun.
OTP oltalanabilir mi?
Evet. Bir vekil oltalama sitesi hem parolayı hem de yeni yazılan OTP'yi yakalayıp kodun geçerlilik süresi içinde gerçek servise iletebilir. OTP, çalınan parola saldırılarını boşa çıkarır ama gerçek zamanlı oltalamayı engellemez. Oltalamaya direnç için, kimlik doğrulamayı meşru sitenin adresine kriptografik olarak bağlayan geçiş anahtarlarını veya FIDO2 güvenlik anahtarlarını kullanın.