← Tüm terimler
Geçiş Anahtarları (FIDO2 / WebAuthn)

Geçiş anahtarları (FIDO2 / WebAuthn) nedir?

Geçiş anahtarları, FIDO2/WebAuthn açık anahtar kriptografisine dayanan, parmak izi, yüz veya PIN ile açılan oltalamaya dirençli oturum açma kimlik bilgileridir.

Son güncelleme: 13 Temmuz 2026

Geçiş anahtarları nasıl çalışır

Kullanıcı bir geçiş anahtarı kaydettiğinde, cihazı yalnızca o web sitesi veya uygulamaya özgü bir açık-özel anahtar çifti üretir. Özel anahtar cihazda kalır, güvenli donanım tarafından korunur ve biyometri ya da PIN ile açılır. Sunucu yalnızca açık anahtarı tutar; bu anahtar tek başına saldırgan için işe yaramaz.

Oturum açarken sunucu rastgele bir sorgu gönderir, cihaz bunu özel anahtarla imzalar ve sunucu imzayı kayıtlı açık anahtarla doğrular. En önemlisi, kimlik bilgisi gerçek web sitesinin adresine bağlıdır; benzerini taklit eden bir oltalama sayfası hiçbir zaman geçerli bir imza üretemez. Bu akış, daha geniş FIDO2 spesifikasyonu içindeki tarayıcı arayüzü olan WebAuthn ile standartlaştırılmıştır.

Geçiş anahtarları neden önemli

Geçiş anahtarları, yapısı gereği oltalamaya dirençli olan ilk yaygın kimlik bilgisidir. Yazılacak bir sır olmadığı için sahte bir sayfa, tuş kaydedici veya sosyal mühendislik aramasıyla ele geçirilemez. Sunucu tarafındaki ihlaller yalnızca açık anahtarları açığa çıkarır; bunlar tekrar kullanılabilir veya kırılabilir kimlik bilgilerine dönüştürülemez.

Büyük platformların işletim sistemi ve tarayıcılarda yerleşik destek sunmasıyla benimseme hızlı ilerledi. Platform hesaplarında eşitlenen geçiş anahtarları bireysel kullanıcılar için kurtarmayı kolaylaştırırken, donanım güvenlik anahtarlarındaki cihaza bağlı geçiş anahtarları daha katı kurumsal ve düzenleyici gereksinimleri karşılar. Çoğu kurum için geçiş anahtarları artık çalışan kimlik doğrulamasında pratik hedef noktayı temsil ediyor.

Uygulamada geçiş anahtarları

Kurumsal geçişler genellikle geçiş anahtarlarının kimlik sağlayıcı tarafında bir MFA faktörü veya parola alternatifi olarak etkinleştirilmesiyle başlar; böylece SSO arkasındaki her uygulama, tek tek entegrasyon gerektirmeden hemen faydalanır. İlk gruplar genellikle BT personeli ve yöneticilerdir; ardından daha geniş bir gönüllü katılım aşaması ve nihayetinde işe alım sırasında varsayılan kayıt gelir.

Baştan verilmesi gereken kararlar arasında eşitlenmiş geçiş anahtarlarına izin verilip verilmeyeceği veya cihaza bağlı kimlik bilgilerinin zorunlu tutulması, cihaz kaybı sonrası kurtarma yöntemi ve ortak ya da kiosk bilgisayarların nasıl yönetileceği vardır. Monosign, geçiş anahtarlarını ve FIDO2'yi TOTP ve anlık bildirimle birlikte birinci sınıf doğrulama faktörü olarak destekler ve aynı merkezi politikalarla uygular.

Sık sorulan sorular

Geçiş anahtarı ile parola arasındaki fark nedir?
Parola, hem sizin hem de sunucunun bildiği ortak bir sırdır; bu yüzden oltalanabilir ve sızabilir. Geçiş anahtarı ise kriptografik bir anahtar çiftidir: sunucu yalnızca açık yarısını tutar, özel yarısı cihazınızdan hiç çıkmaz. Oturum açarken tekrar kullanılabilir hiçbir şey yazılmaz veya iletilmez.
Eşitlenmiş geçiş anahtarları kurumsal kullanım için güvenli mi?
Eşitlenmiş geçiş anahtarları, platform hesabı ve onun güçlü doğrulamasıyla korunur ve oltalamaya dirençli kalır. Daha katı gereksinimleri olan kurumlar bunun yerine donanım anahtarlarında cihaza bağlı geçiş anahtarlarını zorunlu tutabilir. Birçok kurum genel personel için eşitlenmiş, ayrıcalıklı roller için cihaza bağlı kimlik bilgileri kullanır.
FIDO2, WebAuthn ve geçiş anahtarları arasındaki ilişki nedir?
FIDO2, FIDO Alliance ve W3C tarafından geliştirilen genel standarttır. WebAuthn, web sitelerinin kimlik bilgisi kaydetmek ve doğrulamak için çağırdığı tarayıcı arayüzüdür; CTAP ise harici doğrulayıcılarla iletişim protokolüdür. Geçiş anahtarı, bu yapıyla oluşturulan FIDO2 kimlik bilgisinin kullanıcı dostu adıdır.