← Tüm terimler
Parolasız Kimlik Doğrulama

Parolasız kimlik doğrulama nedir?

Parolasız kimlik doğrulama, kullanıcıyı parola yerine geçiş anahtarları, biyometri, güvenlik anahtarları veya cihaza bağlı kimlik bilgileriyle doğrular.

Son güncelleme: 13 Temmuz 2026

Parolasız kimlik doğrulama nasıl çalışır

Parolasız yöntemler, parolanın paylaşılan sırrını açık anahtar kriptografisi veya güvenilen bir kanala sahip olma kanıtıyla değiştirir. Geçiş anahtarları ve FIDO2 ile cihaz bir anahtar çifti üretir: özel anahtar cihazdan hiç çıkmaz ve parmak izi, yüz taraması ya da PIN ile yerel olarak açılır; sunucuda yalnızca açık anahtar tutulur. Oturum açarken cihaz, tek kullanımlık bir sorguyu imzalayarak anahtara sahip olduğunu kanıtlar.

Diğer parolasız yaklaşımlar arasında doğrulanmış bir posta kutusuna gönderilen sihirli bağlantılar, tek kullanımlık kodlar ve sertifika tabanlı doğrulama bulunur. Belirleyici özellik, kullanıcının yazdığı veya sunucuda saklanan tekrar kullanılabilir bir sırrın olmamasıdır; dolayısıyla oltalanacak ya da bir veri ihlalinde sızacak bir şey yoktur.

Parolasızlık neden önemli

Parolalar, kimlik saldırılarının çoğunun kök nedenidir: oltalama, kimlik bilgisi doldurma, kaba kuvvet ve tekrar kullanım saldırılarının tümü, kullanıcının bildiği ve açıklamaya kandırılabileceği bir sırra dayanır. Parolayı kaldırmak, bu saldırı sınıfını hafifletmek yerine tamamen ortadan kaldırır.

Aynı zamanda kullanıcı deneyimi de iyileşir ki bu bir güvenlik kontrolü için enderdir. Parmak iziyle oturum açmak bir saniye sürer, hatırlanacak veya değiştirilecek bir şey yoktur ve parola sıfırlama talepleri belirgin biçimde azalır. Daha güçlü güvenlik ile daha az zahmetin bu birleşimi, parolasız geçişin sektör genelinde hızlanmasının nedenidir.

Uygulamada parolasız geçiş

Çoğu kurum geçişi aşamalı yürütür. Önce geçiş anahtarları veya güvenlik anahtarları, parolanın yanında isteğe bağlı bir oturum açma yöntemi olarak sunulur. Ardından parolasız yöntem varsayılan olur, parola yedek olarak kalır. Son olarak, tam kayıt olmuş kullanıcı gruplarında (yöneticilerden başlayarak) parolalar devre dışı bırakılır.

Planlamada dikkat edilecek başlıca noktalar; cihaz kaydı ve kurtarma akışları, ortak kullanılan bilgisayarların desteklenmesi ve hâlâ parola bekleyen eski sistemlerin kapsanmasıdır. Parolasız doğrulamayı merkezi bir kimlik sağlayıcı üzerinden yürütmek bu politikaları tutarlı kılar; Monosign, geçiş anahtarları ve FIDO2 desteğini diğer MFA faktörleriyle birlikte sunarak ekiplerin her uygulamayı değiştirmeden parolasıza kademeli geçmesini sağlar.

Sık sorulan sorular

Parolasız kimlik doğrulama MFA'dan daha mı güvenli?
Bunlar rakip değil, kesişen kavramlardır. Bir geçiş anahtarı kendi başına çok faktörlüdür: cihaza sahip olmayı yerel biyometri veya PIN ile birleştirir. Geçiş anahtarlı parolasız doğrulama, tasarımı gereği oltalamaya dirençli olduğu için parola artı tek kullanımlık kod yönteminden genellikle daha güçlüdür.
Kullanıcı cihazını kaybederse ne olur?
Kurtarma yedek faktörlerle sağlanır: kayıtlı ikinci bir cihaz, yedekte tutulan bir donanım güvenlik anahtarı, platform hesabından geri yüklenen eşitlenmiş geçiş anahtarları veya doğrulamalı bir yardım masası süreci. Bu kurtarma yollarını geçişten önce planlamak, sorunsuz bir parolasız program için şarttır.
Bazı uygulamalarımız eskiyse yine de parolasıza geçebilir miyiz?
Evet; önlerine merkezi bir kimlik sağlayıcı koyarak. Kullanıcılar IdP'de parolasız kimlik doğrular; IdP eski uygulamayı SSO, Kerberos veya protokol köprüleriyle yönetir. Parola teknik olarak var olmaya devam edebilir, ancak kullanıcılar onu hiç yazmaz.