İçeriğe geç
Parolasız Gelecek: FIDO, Passkey ve Ötesi — Adım Adım Uygulama Rehberi

Parolasız Gelecek: FIDO, Passkey ve Ötesi — Adım Adım Uygulama Rehberi

6 dk
#trend#passkey#fido#şifre#güvenlik

Günümüzde "Parolasız Gelecek: FIDO, Passkey ve Ötesi" tartışmaları hız kazanıyor. Kurumsal ve bireysel güvenlik ihtiyaçları, yalnızca güçlü parolalarla sınırlı kalmıyor; parola yöneticisi, iki faktörlü kimlik doğrulama (2FA) ve giderek yaygınlaşan FIDO / passkey (WebAuthn) çözümleri birleşerek daha sağlam bir kimlik doğrulama altyapısı oluşturuyor. Bu rehberde hem geleneksel parola stratejilerini güçlendirme hem de parolasız (passwordless) geçişi adım adım uygulama yollarını, örnekleri, en iyi uygulamaları ve dikkat edilmesi gereken tuzakları bulacaksınız.

Neden hâlâ parolalarla başlamalıyız? Parola prensiplerinin üçlemesi

Güçlü parola üç temel unsura dayanır: uzunluk, karakter çeşitliliği ve benzersizlik.

  • Uzunluk: 12+ karakter önerilir; passphrase (parola cümlesi) ile 20+ karakter hedeflenebilir.
  • Karakter çeşitliliği: büyük/küçük harf, rakam, semboller — ancak tahmin edilebilir yer değiştirmeler (P@ssw0rd → Password1 gibi) zayıftır.
  • Benzersizlik: her hesap için farklı kimlik bilgisi. Tek bir şifre ihlali birçok servisi tehlikeye atar.

Örnek:

  • Zayıf: Doga123
  • Güçlü passphrase: Yaz+Deniz+1986!Kedi (uzun, anlamlı ama tahmin edilmesi zor)

Kurumsal politika örneği (kısa):

  • Minimum 14 karakter veya 20 karakter passphrase önerisi.
  • Yasaklı desenler: "1234", "qwerty", şirkete ait terimler.
  • Periyodik ihlal denetimleri (breach detection) ve parola yaşlandırması yerine risk bazlı yeniden kimlik doğrulama.

Parolasız kimlik doğrulama: FIDO, passkey ve WebAuthn nedir?

  • FIDO (Fast IDentity Online): Donanım tabanlı veya platform tabanlı kimlik doğrulama standartları. Ana avantajı: phishing'e karşı güçlü direnç ve sunucu tarafında parola saklamama.
  • Passkey: FIDO2/WebAuthn teknolojilerinin kullanıcı dostu uygulaması. Cihaz (telefon, güvenlik anahtarı, Windows Hello, Apple Touch ID/Face ID) ile hesap arasında anahtar çifti oluşturulur.
  • WebAuthn: Tarayıcı tabanlı API; siteler FIDO2/passkey ile oturum açmayı destekleyebilir.

Avantajlar:

  • Phishing direnci (cihaz, origin doğrulaması yapar).
  • Kullanıcı deneyimi: biometrik veya PIN ile hızlı erişim.
  • Yönetimsel: merkezi parola reset gereksinimini azaltır.

Dezavantajlar / dikkat:

  • Cihaz kaybı durumunda kurtarma (account recovery) süreçleri iyi tasarlanmalı.
  • Eski cihazlar ve bazı IoT aygıtları FIDO desteği sağlamayabilir.

Kurumsal geçiş: FIDO / passkey uygulama adımları

  1. Envanter ve sınıflandırma

    • Hangi uygulamalar kullanıcı kimlik doğrulaması gerektiriyor? (SaaS, iç uygulamalar, VPN, yönetim panelleri)
    • Kritik hesapları (finans, HR, yönetici) belirleyin.

  2. Altyapı seçimi

    • Mevcut identity provider (Okta, Azure AD, Google Workspace vb.) FIDO/WebAuthn desteğini kontrol edin.
    • Yerel uygulamalar için WebAuthn kütüphanelerini planlayın.

  3. Politika ve süreç tasarımı

    • Zorunlu vs isteğe bağlı passkey geçiş takvimleri.
    • Kurtarma mekanizmaları: yedek güvenlik anahtarları, alternatif 2FA, çağrı merkezleri için kimlik doğrulama prosedürleri.

  4. Kullanıcı kaydı ve eğitim

    • Adım adım enrolment rehberi: cihaz kaydı, birincil ve yedek anahtar oluşturma.
    • Simülasyonlar ve farkındalık eğitimleri: kimlik avı simülasyonları, kayıp cihaz prosedürleri.

  5. İzleme ve denetim

    • Oturum günlükleri, yeni cihaz kayıtları, başarısız oturum denemeleri.
    • Düzenli güvenlik testleri ve üçüncü parti denetimleri.

  6. Kademeli uygulama

    • Önce kritik kullanıcı gruplarında pilot, sonra geniş çapta dağıtım.
    • Geri bildirim üzerinden hızlı iyileştirme.

Parola yöneticisi seçimi ve en iyi uygulamalar

Parola yöneticisi artık zorunlu araçlardan biri. Seçerken dikkat edilecekler:

  • Güçlü şifreleme (end-to-end, en az AES-256).
  • Ana parola (master password) saklanmamalı ve parola sıfırlama süreçleri güvenli olmalı.
  • Çoklu cihaz senkronizasyonu ve yedekleme.
  • Paylaşım yetenekleri (ekiplerde güvenli paylaşım).
  • Tarayıcı ve 2FA entegrasyonu.
  • Bağımsız güvenlik denetimleri ve şeffaflık raporları.

Kurumsal örnek adımlar:

  • Birden fazla yönetici hesabı ile parola yöneticisinin merkezi kurulumu.
  • Her çalışan için onboarding sırasında parola yöneticisi eğitimi.
  • Otomatik parola oluşturucu ayarlarının (uzunluk, karakter türü) uygulanması.

İki faktörlü kimlik doğrulama (2FA) — hangi yöntem, ne zaman?

  • SMS: kolay ama SIM swap saldırılarına açık. Kritik hesaplarda önerilmez.
  • TOTP (Google Authenticator, Authy): iyi, çevrimdışı çalışır ama cihaz kaybı riski var.
  • Push tabanlı doğrulama: kullanıcı dostu, phishing riskini azaltır.
  • Donanım güvenlik anahtarları (YubiKey vb): en güvenli seçenek, FIDO ile ideal.
  • Biometrik + cihaz PIN: passkey kullanımında öne çıkar.

En iyi uygulamalar:

  • Kritik hesaplarda donanım anahtarı veya passkey zorunlu kılınsın.
  • Kurtarma kodları güvenli bir yerde (parola yöneticisinde şifreli) saklansın.
  • 2FA yöntemleri birden fazla yedeklemesi (ör. TOTP + yedek güvenlik anahtarı) sağlansın.

IoT güvenliği ve parola temelli riskler

IoT cihazlar genellikle zayıf parola politikaları ve güncellenemeyen firmware ile gelir. IoT güvenliği için pratik adımlar:

  • Fabrika ayarındaki şifreleri anında değiştirin.
  • Yönetilebilir IoT cihazları için merkezi kimlik yönetimi ve cihaz sertifikaları kullanın.
  • Ağ segmentasyonu: IoT cihazlarını kritik sistemlerden izole edin.
  • Otomatik güncelleme veya düzenli firmware denetimleri planlayın.
  • Mümkünse sertifika tabanlı kimlik doğrulama veya EAP-TLS gibi daha güçlü protokoller tercih edin.

Sosyal medya ve oyun platformları: hedefler ve savunma

Sosyal medya ve oyun hesapları, çalındığında dolandırıcılık, sosyal mühendislik ve spam için kullanılabilir. Savunma önerileri:

  • Bu platformlarda benzersiz parolalar ve parola yöneticisi kullanın.
  • 2FA açık olsun; mümkünse donanım anahtarı veya passkey tercih edin.
  • Oturum günlüklerini ve cihaz bildirilerini düzenli kontrol edin.
  • Şüpheli etkinliklerde derhal parola değişikliği ve destek ile iletişime geçin.

Eğitim, simülasyon ve organizasyonel politika

Eğitim ve tabletop/simülasyon etkinlikleri farkındalık oluşturmanın en etkili yollarıdır. Örnek uygulama:

  • Yılda iki kez kimlik avı simülasyonu.
  • Yeni işe başlayanlar için zorunlu güvenlik eğitimi (parola yöneticisi kurulumu, 2FA etkinleştirme).
  • İhlal senaryoları ve kurtarma tatbikatları.

Politika örnek maddeleri:

  • Tüm kritik hesaplarda 2FA zorunlu.
  • Şirket içi parola paylaşımı yasak (parola yöneticisi üzerinden güvenli paylaşım hariç).
  • IoT cihazları yalnızca onaylı envantere eklenebilir.

Uygulamada sık yapılan hatalar

  • Tek şifre kullanma: Bir şifre birçok hesaba kullanıldığında risk büyür.
  • SMS 2FA’ya aşırı güvenme: SIM swap saldırıları göz ardı ediliyor.
  • Yedek anahtar/hesap kurtarma süreçlerini kötü tasarlama: kolay exploitation olur.
  • Cihaz kaybında panik: yedek güvenlik anahtarları ve manager yedekleri yok.
  • IoT cihazlarını ağ üzerinde izole etmemek: ağ içi yayılım riski artar.

Bugün Başlamak İçin 5 Adım (mini-checklist)

  • Tüm hesapların envanterini çıkarın (e-posta, banka, sosyal, iş).
  • Bir parola yöneticisi seçin ve ana parolayı güçlü bir parola cümlesi olarak ayarlayın.
  • Her kritik hesapta iki faktörlü kimlik doğrulama (2FA) etkinleştirin; mümkünse donanım anahtarı veya passkey tercih edin.
  • E-posta ve finansal servisler için haftalık güvenlik kontrolü rutini planlayın (oturumlar, cihazlar, bildirimler).
  • Kritik cihazlar için yedek güvenlik anahtarları oluşturun ve güvenli bir yerde saklayın.

Kısa eylem önerisi: Bugün 10 dakikanızı ayırın; e‑postanızı, bankacılık uygulamanızı ve sosyal medya hesaplarınızı için benzersiz parolalar oluşturun ve 2FA’yı açın.

Değişim ve kurtarma senaryoları: kayıp cihaz, hesap ele geçirilmesi

  • Kayıp cihaz: cihazın uzaktan sıfırlanması, bağlı hesapların oturumlarının kapatılması ve yedek anahtar ile yeniden kayıt.
  • Hesap ele geçirilmesi: hemen ana parola değişikliği, bağlı uygulık erişimlerinin (OAuth token) iptali, destek ile iletişim.
  • Kurumsal: IAM üzerinden oturum iptali ve forensik log incelemesi.

Sonuç ve kısa CTA

Parolasız gelecek elbette kapıda, ancak bugünkü güvenlik ihtiyaçları için parola yöneticisi, güçlü passphrase’ler, iki faktörlü kimlik doğrulama (2FA) ve FIDO/passkey birleşimi en etkili savunmayı sağlar. Kurumsal politikaları netleştirin, eğitim ve simülasyonlarla farkındalığı artırın ve IoT güvenliğini ihmal etmeyin.

Bugün başlayanlar bir adım önde: şimdi hesap envanterinizi çıkarın, parola yöneticinizi kurun ve kritik hesaplarda 2FA’yı aktive edin. Bir sonraki adımınız passkey pilotu başlatmak olabilir — küçük bir pilotla başlayın ve başarıyı büyütün.

İş Yerinde Şifre Güvenliği En İyi Uygulamaları — Adım Adım Uygulama Rehberi
Sonraki yazı yok

İlgili Yazılar

İş Yerinde Şifre Güvenliği En İyi Uygulamaları — Adım Adım Uygulama Rehberi

İş Yerinde Şifre Güvenliği En İyi Uygulamaları — Adım Adım Uygulama Rehberi

18 Ocak 2026

Parola Yöneticileri: Yeni Başlayanlar İçin Kılavuz — Uzman İpuçları ve Kontrol Listesi

Parola Yöneticileri: Yeni Başlayanlar İçin Kılavuz — Uzman İpuçları ve Kontrol Listesi

15 Ocak 2026

Parola mı Parola Cümlesi mi — Adım Adım Uygulama Rehberi

Parola mı Parola Cümlesi mi — Adım Adım Uygulama Rehberi

11 Ocak 2026

← Tüm Yazılar