Ana içeriğe atla

Parola Yöneticisi mi Passkey mi? Küçük Ekipler İçin 2026 Kimlik Doğrulama Rehberi


 

Parola Yöneticisi mi Passkey mi? Küçük Ekipler İçin 2026 Kimlik Doğrulama Rehberi

Dijital güvenlik tartışmasının en yıpratıcı alışkanlıklarından biri, yanlış soruları yıllarca doğruymuş gibi tekrarlamasıdır. Uzun süre boyunca kurumlara ve kullanıcılara sorulan soru şuydu: “Güçlü parola nasıl oluşturulur?” Oysa 2026’ya geldiğimiz yerde daha dürüst soru artık bambaşkadır: “Parolaya ne kadar bağımlı kalmak zorundayız?” NIST’in güncel dijital kimlik kılavuzu, bunu neredeyse tartışmaya yer bırakmayacak kadar açık kuruyor: parolalar phishing-resistant değildir. Aynı kılavuz, zayıf ya da ele geçirilmiş değerleri blok listeyle reddetmeyi önerirken, eski tip keyfî karmaşıklık kurallarının dayatılmaması gerektiğini de söylüyor. Yani sektörün yıllarca sattığı “büyük harf, küçük harf, rakam, sembol ekle; mesele çözülsün” masalı, resmî standart düzeyinde ciddi biçimde aşınmış durumda.

Tam bu noktada passkey kavramı devreye giriyor. FIDO Alliance passkey’leri, parolaların yerini alan ve kimlik doğrulamayı kriptografik anahtar çiftleri üzerinden yürüten FIDO tabanlı kimlik bilgileri olarak tanımlıyor. Microsoft’un güncel Entra belgeleri ise meseleyi daha teknik bir dille netleştiriyor: passkey’ler, origin-bound public-key cryptography kullanır, yerel kullanıcı etkileşimi gerektirir ve bu özelliklerin birleşimi onları phishing’e karşı neredeyse imkânsız hâle getirir. Google da kendi hesap dokümantasyonunda passkey’leri parolalara basit ve güvenli bir alternatif olarak sunuyor; bunların paylaşılamadığını, kopyalanamadığını, yazılıp birine verilemediğini ve bu yüzden phishing’e karşı daha güvenli olduğunu belirtiyor. Başka deyişle passkey, güvenlik dünyasının yeni pazarlama etiketi değil; saldırının merkezindeki “insanı kandırıp sır al” mantığını yapısal olarak bozan bir doğrulama biçimidir.

Burada temel zihinsel kırılmayı doğru kurmak gerekir. Parola, özünde paylaşılabilir bir sırdır; onu bilen kişi, uygun bağlamda onu yeniden kullanabilir. Passkey ise aynı mantıkta çalışan bir sır değildir. FIDO’nun anlattığı çerçevede kullanıcı tarafında bir anahtar çifti bulunur; kimlik doğrulama, parolanın kopyalanması veya girilmesi üzerine değil, cihaz temelli kriptografik doğrulama üzerine kurulur. Microsoft’un vurguladığı “origin-bound” ifadesi tam da bu yüzden kritik: kimlik bilgisi, sahte bir arayüzde veya yanlış bağlamda kolayca yeniden oynatılamaz. Güvenlikte asıl sıçrama, kullanıcıya “daha dikkatli ol” demek değil, kullanıcının hata yapma yüzeyini daraltmaktır. Passkey’in tarihsel önemi de tam burada yatar.

Fakat şimdi daha rahatsız edici gerçeğe gelelim: Passkey’in yükselişi, parola yöneticilerini otomatik olarak gereksiz kılmaz. Bu, güvenlik tartışmasının şu anki en popüler ama en sığ yanlışlarından biridir. Çünkü gerçek dünyada kurumlar bir gecede yeniden kurulmaz. Küçük ekiplerin elinde bugün hâlâ legacy hesaplar, henüz passkey desteklemeyen servisler, paylaşılan operasyon araçları, kurtarma kodları, API anahtarları, geçici erişim düzenleri ve farklı platformlara dağılmış oturum altyapıları bulunur. FIDO Alliance’ın kurumsal geçiş belgeleri zaten tartışmayı bu zeminde kuruyor: hedef, parola-only ya da parola+OTP yapılarını passkey’lere doğru taşımaktır; yani mesele bir anda yüzde yüz saflaşma değil, güvenlik mimarisinin kademeli yer değiştirmesidir. Bu yüzden “passkey geldi, parola yöneticisi öldü” cümlesi teknik olarak şık görünebilir ama operasyonel olarak çocuksudur.

Üstelik modern parola yöneticileri artık yalnızca parola saklamıyor. Google’ın kendi dokümantasyonu, Google Password Manager içinde hem parolaların hem de passkey’lerin saklanabildiğini; bunların cihazlar arasında kullanılabildiğini açıkça belirtiyor. Aynı doküman seti, bir passkey kaldırıldığında kullanıcı hâlâ o passkey ile giriş istemi görüyorsa üçüncü taraf credential manager’ların da kontrol edilmesi gerektiğini söylüyor. Bu ayrıntı küçük görünür; oysa çok şey anlatır. Birincisi, passkey’ler pratikte artık parola yöneticisi benzeri saklama ve senkronizasyon katmanlarıyla iç içe yaşıyor. İkincisi, “yönetim” problemi ortadan kalkmıyor; biçim değiştiriyor. Yani parola yöneticisi ölmedi, dönüşmeye başladı. Eski rolü tek başına parola kasası olmaktı; yeni rolü, farklı kimlik bilgisi türlerini düzenleyen bir koordinasyon katmanı olmaya doğru kayıyor.

Bu yüzden küçük ekipler için doğru çerçeve “parola yöneticisi mi passkey mi?” değil, “hangi katmanda hangisi iş görür?” sorusudur. Son kullanıcı oturumlarında, destekleyen servislerde ve özellikle yüksek phishing riski taşıyan hesaplarda passkey’e geçmek mantıklıdır. Çünkü burada asıl problem, insanın sahte giriş ekranına kandırılması veya SMS/e-posta kodu gibi phishable yöntemlerin sömürülmesidir. Microsoft, passkey’lerin parolalar, SMS ve e-posta kodları gibi phishable yöntemlerin yerine geçtiğini açıkça söylüyor. Google da passkey’in cihaz kilidiyle ilişkilendiğini ve bu yüzden kullanıcı deneyimini sadeleştirdiğini vurguluyor. Ancak kurumsal ekosistemin kalan kısmında, özellikle henüz passkey desteklemeyen servisler söz konusuysa, parola yöneticisi hâlâ düzen sağlayan ana mekanizmadır. Yani passkey kapının yeni kilidi olabilir; parola yöneticisi ise binanın anahtar panosu olmayı sürdürür.

Burada bir başka kritik ayrım daha var: synced passkey ile device-bound passkey aynı güvenlik profiline sahip değildir. FIDO belgeleri passkey’lerin ya kullanıcı cihazları arasında güvenli biçimde senkronize edilebildiğini ya da belirli bir cihaza bağlı tutulabildiğini belirtiyor. Yine FIDO’nun daha yeni rehberleri, synced passkey’lerin kurtarma ve kullanım kolaylığı açısından cazip olduğunu, device-bound passkey’lerin ise depolama ve erişim modeli bakımından daha güçlü güvenlik özellikleri sunabildiğini anlatıyor. Bu ayrım önemlidir; çünkü küçük ekiplerin çoğu güvenlik tartışmasını siyah-beyaz görmeye çalışıyor. Oysa asıl gerçek, her güvenlik tercihinin aynı zamanda bir kurtarma ve yönetim tercihidir. Kolay geri kazanılabilen şeyler genellikle daha geniş ekosistem bağımlılığı taşır; daha sert korunan şeyler ise daha zor kurtarılır. Premium güvenlik yazısı, bu gerilimi saklamaz.

Bu gerilim özellikle hesap kurtarma meselesinde görünür olur. Google’ın passkey dokümantasyonu çok net bir uyarı içeriyor: passkey yalnızca kişisel olarak sahip olunan ve kullanılan cihazlarda oluşturulmalıdır; çünkü cihazı açabilen herkes hesaba erişebilir. Aynı belge, kayıp veya çalıntı cihaz senaryolarında ilgili passkey’in kaldırılmasına dair yönlendirme de sunuyor. Bu, teorik bir dipnot değildir. Kimlik doğrulama ne kadar “passwordless” görünürse görünsün, cihaz güvenliği ve kurtarma zinciri kötü yönetiliyorsa sistemin genel güvenliği yine zayıflar. Passkey, insanı her hatadan kurtaran sihirli bir tılsım değildir; yalnızca en pahalı hata sınıfını, yani paylaşılan sırların kandırılarak ele geçirilmesini ciddi biçimde azaltır. Geri kalan operasyonel disiplin ihtiyacı olduğu yerde durur.

Peki küçük ekipler 2026’da ne yapmalı? İlk olarak, “her şeyi bir anda değiştirelim” dürtüsünü bastırmalı. FIDO ve Microsoft belgeleri, passkey benimsemesini kurumsal uygulama entegrasyonu ve politika yönetimiyle birlikte ele alıyor; yani konu sadece kullanıcıya yeni bir düğme göstermek değil, bütün erişim mimarisini buna göre düzenlemek. İkinci olarak, en kritik hesapları sınıflandırmak gerekir: e-posta, yönetici panelleri, finans araçları, alan adı ve bulut altyapısı gibi yüksek etkili hesaplar passkey’e geçişte öncelikli olmalıdır. Üçüncü olarak, parola yöneticisi tamamen atılmamalı; tersine, geçiş döneminde legacy hesaplar, kurtarma bilgileri ve desteklenmeyen servisler için disiplin merkezi olarak korunmalıdır. Güvenlikte olgunluk, modaya ilk atlayan olmak değil; heterojen ortamı yönetebilmektir.

Sonuç nettir: Passkey, kimlik doğrulamanın yönünü değiştiren esas yeniliktir; parola yöneticisi ise bu geçiş çağında düzeni sağlayan zorunlu ara katmandır. Birini diğerinin yerine geçirip tartışmayı bitirmeye çalışan herkes, meselenin teknik çekiciliğine kapılmış ama operasyonel gerçekliğini ıskalamıştır. Parola yöneticileri eski biçimiyle tek başına güvenliğin merkezi olmaktan çıkıyor; fakat kimlik bilgisinin saklanması, senkronizasyonu, kurtarma akışları ve legacy hesap yönetimi sürdükçe tamamen sahneden çekilmeleri de beklenmemelidir. Kısacası doğru cevap ikili değildir. 2026’nın akıllı mimarisi şudur: mümkün olan yerde passkey-first, kaçınılmaz olan yerde disiplinli credential management. Güvenlikte ilerleme çoğu zaman devrim gibi görünmez; bazen sadece artık kandırılabilir sırlar biriktirmemeyi öğrenmekten ibarettir.

Kaynakça

  1. NIST Special Publication 800-63B / SP 800-63-4 — Parolaların phishing-resistant olmadığını, blok liste yaklaşımını ve keyfî composition kurallarından kaçınılmasını tanımlayan temel resmî çerçeve.
  2. FIDO Alliance – Passkeys — Passkey’lerin FIDO tabanlı, kriptografik anahtar çiftleriyle çalışan passwordless kimlik bilgileri olduğunu ve synced/device-bound ayrımını açıklayan resmî kaynak.
  3. Microsoft Entra – Passkeys (FIDO2) authentication method — Origin-bound public-key cryptography ve phishing direncini kurumsal bağlamda açıklayan güncel resmî belge.
  4. Google Account Help – Sign in with a passkey instead of a password — Passkey’in Google hesabı için nasıl çalıştığını, cihaz sahipliği ve kayıp cihaz senaryolarını açıklayan resmî kaynak.
  5. Google Account Help – Use passwords & passkeys across your devices / Google Password Manager — Parola ve passkey’lerin aynı yönetim katmanında saklanabildiğini gösteren resmî kaynak.
  6. FIDO Alliance – Enterprise passkey deployment white papers — Parola-only ve parola+OTP yapılardan passkey’e geçişin kurumsal mantığını açıklayan resmî kaynaklar.
  7. Microsoft Windows / Entra passkey management documents — Windows’ta yerel ve üçüncü taraf passkey yönetimi ekosistemine ilişkin güncel resmî belgeler.
                                                                                                            YAZAR: Mehmet YILMAZ

© 2026 Kenar Notları Blog. Tüm hakları saklıdır. İzinsiz alıntılanamaz, kopyalanamaz ve yeniden yayımlanamaz.

Labels:

Yorumlar

Yorum Gönder

Yorumlar yayımlanmadan önce denetlenir. Yapıcı eleştiri, düzeltme ve katkı içeren mesajlar öncelikle değerlendirilir.

En Çok Okunanlar

RTX 4060 vs RX 7600: Nisan 2026 Türkiye fiyatlarına göre hangisi alınır?

RTX 4060 vs RX 7600: Nisan 2026 Türkiye fiyatlarına göre hangisi alınır? RTX 4060 ve RX 7600’ü Nisan 2026 Türkiye fiyatları, 1080p performansı, ray tracing gücü ve fiyat-performans dengesiyle karşılaştırdık. 2026’da ekran kartı tarafında en çok kafa karıştıran eşleşmelerden biri RTX 4060 ile RX 7600 arasında yaşanıyor. Çünkü iki kart da kâğıt üstünde aynı kullanıcıya sesleniyor: 8 GB GDDR6 belleğe sahipler, 128-bit veri yolu kullanıyorlar ve doğrudan 1080p oyunculuğu hedefliyorlar. Fakat satın alma anında denge bozuluyor. NVIDIA tarafı daha düşük güç tüketimi, daha güçlü ray tracing ve DLSS ekosistemiyle öne çıkarken; AMD tarafı çoğu zaman daha agresif Türkiye fiyatlarıyla masaya geliyor. Bu yüzden mesele yalnızca “hangi kart daha hızlı?” sorusu değil. Asıl soru şu: 2026 Türkiye pazarında, sınırlı bütçeyle sistem toplayan bir oyuncu için fazla para vermeye gerçekten değer mi? Bu yazıda RTX 4060 ve RX 7600’ü teknik tablolarla boğmadan; 1080p performansı, özellik farkı, güç verimliliği v...
Yorum Gönder
Devamını oku →
  Her Şey Kolaylaştı, Peki Neden Bu Kadar Tükendik? Konfor Rejimi, Kesintiye Uğramış Dikkat ve Modern Yorgunluğun Mantığı Modern çağın en büyük aldanmalarından biri, teknik kolaylaşmayı varoluşsal hafifleme ile karıştırmasıdır. Evet, hayatın pek çok işlemi hızlandı: para transferi için banka kuyruğunda beklemiyoruz, bilgiye ulaşmak için kütüphane katalogları arasında kaybolmuyoruz, bir mesajın iletimi için günler harcamıyoruz. Fakat tam da burada kavramsal bir hata başlıyor: işlem maliyetinin düşmesi, hayat maliyetinin düştüğü anlamına gelmez. Hartmut Rosa’nın modernliği tarif ederken işaret ettiği “hızlanan hayat” ve “şimdinin daralması” fikri ile Judy Wajcman’ın dijital kapitalizm altında meşguliyetin kültürel olarak yüceltilmesine dair teşhisi birlikte okunduğunda, mesele daha açık görünür: teknoloji yalnızca zaman kazandırmaz; aynı zamanda zamanın üzerine yeni normlar, yeni beklentiler ve yeni tempo zorunlulukları bindirir. Byung-Chul Han’ın “başarı toplumu” ve Jonathan Crary’n...
Yorum Gönder
Devamını oku →

Türkiye 5G’ye Geçti; Peki Neden Herkes Aynı Sıçramayı Hâlâ Hissetmiyor?

  Türkiye 5G’ye geçti ama neden herkes aynı farkı hissetmiyor? 1 Nisan 2026 sonrası kapsama, hız, frekans, operatör stratejileri ve cihaz uyumu üzerinden net bir analiz. Türkiye 5G’ye geçti. Bu artık bir gelecek vaadi değil, resmî olarak başlamış bir dönem. Ulaştırma ve Altyapı Bakanlığı’nın açıklamasına göre 1 Nisan 2026 itibarıyla 81 ilde kademeli 5G hizmeti devreye alındı; ülkede 32 milyondan fazla 5G uyumlu cihaz bulunuyor ve yaklaşık 21 milyon abone bu teknolojiyle temas etmiş durumda. Aynı resmî çerçeve, 5G’nin iki yıl içinde ülkenin her noktasına yayılmasının hedeflendiğini de söylüyor. Yani “Türkiye 5G’ye geçti” cümlesi doğru; ama “Türkiye’nin her yerinde herkes aynı 5G deneyimini yaşıyor” cümlesi şu aşamada doğru değil. Sorunun özü tam burada başlıyor. Türkiye 5G’ye geçti denildiğinde birçok kullanıcı tek bir şeyi bekliyor: telefonun bir anda bariz şekilde hızlanması. Oysa sahadaki gerçek daha sert. 5G, bir açma-kapama düğmesi değil; kapsama, frekans, spektrum miktarı, ba...
Yorum Gönder
Devamını oku →

2026’da 8 GB VRAM Hâlâ Yeterli mi? 1080p Oyunculuk İçin Net Cevap

  Giriş: 8 GB VRAM konusu neden tekrar gündemde? Bir süre önce 8 GB VRAM, orta sınıf ekran kartları için fazla tartışılmayan bir kapasiteydi. Bugün aynı kapasite yeniden masaya yatırılıyor; çünkü yeni oyunlar sadece ortalama FPS üretmeyi değil, yüksek doku kalitesi, daha istikrarlı frametime ve daha temiz 1% low değerleri de talep ediyor. PC Gamer’ın 2026 testinde 8 GB kartların hâlâ “oynanabilir” kalabildiği, özellikle 1080p’de iş görebildiği görülüyor; ama aynı testte 16 GB sürümlerin belirgin biçimde daha pürüzsüz çalıştığı da açıkça vurgulanıyor. Yani mesele artık “oyun açılıyor mu” değil, “oyun ne kadar rahat çalışıyor” sorusuna kaymış durumda.   Tartışmayı büyüten ikinci neden, yeni kartların artık doğrudan bu fark üzerinden konuşulması. NVIDIA, RTX 5060’ı 8 GB bellekle sunuyor; RTX 5060 Ti tarafında ise 8 GB ve 16 GB varyantları birlikte yer alıyor. AMD cephesinde de RX 9060 XT hem 8 GB hem 16 GB seçenekleriyle geliyor. Yani üreticiler artık aynı performans sınıfında fa...
Yorum Gönder
Devamını oku →

Dijital Çağda Hakikat Krizi: Gerçeği mi Görüyoruz, Bize Gösterileni mi?

  Dijital Çağda Hakikat Krizi: Gerçeği mi Görüyoruz, Bize Gösterileni mi? Öz Dijital çağda hakikat krizini yalnızca “yanlış bilginin çoğalması” şeklinde okumak yetersizdir. Daha derindeki dönüşüm, kamusal alanda neyin görünür olacağına, hangi bilginin hangi bağlam içinde dolaşıma gireceğine ve hangi iddianın hangi hızla doğrulanacağına karar veren epistemik altyapının platformlar, algoritmalar ve dikkat ekonomisi tarafından yeniden kurulmasıdır. Bu nedenle kriz, gerçeğin ontolojik olarak ortadan kalkması değil; gerçeğe erişim, doğrulama ve kamusal ağırlık kazanma koşullarının istikrarsızlaşmasıdır. Ampirik literatür bir yandan yanlış bilginin çevrimiçi ağlarda daha hızlı ve daha geniş yayıldığını, diğer yandan bu maruziyetin bütün kullanıcılara eşit dağılmadığını; daha çok belirli, yoğun ve kutuplaşmış kümelerde toplandığını göstermektedir. Dolayısıyla mesele, “her yer sahte bilgi dolu” klişesinden daha karmaşıktır: Dijital hakikat krizi, yanlış içeriğin hacminden çok, görünürlük...
Yorum Gönder
Devamını oku →