Passkey ile 2FA Aynı Şey mi?
"Passkey kurdum, artık iki aşamalı doğrulamayı kapatabilir miyim?" sorusu, passkey'in yaygınlaşmasıyla birlikte sıkça karşılaşılan bir çıkarıma dönüştü. Kulağa makul geliyor: iki yöntem de hesabı korumak için var, biri varken öteki gereksiz olabilir gibi görünüyor. Ama bu çıkarım, her iki yöntemin aynı kategoride olduğunu varsayıyor. Öyle değiller.
Passkey ve iki aşamalı doğrulama (2FA) birbirinin rakibi ya da alternatifi değil. Farklı güvenlik sorunlarına, farklı mimariyle yanıt veren iki ayrı yapı. Birinin varlığı ötekini otomatik olarak işlevsiz kılmıyor. Bu iki kavramı aynı sepete koymak, hangisinin ne zaman devreye girdiğini ve hangisinin hangi tehdidi engellediğini gizliyor. Aradaki farkı netleştirmeden hangisine ihtiyaç duyulduğuna dair sağlıklı bir karar vermek mümkün değil.
Aşağıda her iki yöntemin ne için tasarlandığını, birlikte nasıl çalıştığını ve pratik açıdan ne anlama geldiğini ele alıyoruz. Teknik altyapıdan çok kavramsal ayrıma odaklanıyoruz; çünkü asıl kafa karışıklığı orada başlıyor.
Passkey ve iki aşamalı doğrulama farklı sorunlara yanıt üretiyor
İki aşamalı doğrulama, şifrenin tek başına yetersiz olduğu bir gerçekten doğdu. Şifreler çalınabiliyor, tahmin edilebiliyor, sızıntı veritabanlarına girebiliyor ve kimlik avı saldırılarıyla ele geçirilebiliyor. 2FA bu tabloya bir ek katman koydu: şifrenizi bilen biri bile hesabınıza girebilmek için elinizde olan ikinci bir unsuru — uygulama kodu, SMS, güvenlik anahtarı — doğrulamak zorunda. İki aşamalı doğrulama, şifrenin zayıflığını telafi etmek için tasarlandı.
Passkey ise farklı bir soruya yanıt veriyor: şifrenin kendisi olmadan kimlik doğrulama mümkün mü? Passkey'in teknik temeli, asimetrik kriptografiye dayanıyor. Kayıt sırasında cihaz bir anahtar çifti oluşturuyor; özel anahtar cihazda kalıyor, açık anahtar sunucuya gönderiliyor. Giriş sırasında sunucu bir soru gönderiyor, cihaz bunu özel anahtarla imzalıyor ve sunucu doğruluyor. Bu süreçte şifre hiç devreye girmiyor. Kimlik avı sayfasına şifre yazmak mümkün değil çünkü ortada şifre yok; açık anahtarla eşleşmeyen bir sitenin isteği zaten yanıtsız kalıyor.
Kısacası: 2FA, var olan şifrenin yetersizliğini ikinci bir unsurla kapatıyor. Passkey ise şifrenin hiç olmadığı bir kimlik doğrulama mimarisi kuruyor. Biri güvenlik duvarına ek bir kapı takıyor, öteki güvenlik duvarını baştan yeniden inşa ediyor. Amaç benzer — hesabı korumak — ama çözüm yaklaşımları köklü biçimde farklı.
İki aşamalı doğrulamanın koruduğu şey şifrenin tek başına yetersizliği
İki aşamalı doğrulamanın temel varsayımı şu: şifreniz ele geçirilmiş olabilir, ama elinizdeki ikinci unsur ele geçirilmemiştir. Authenticator uygulaması her otuz saniyede değişen bir kod üretiyor; bu kodu bilen biri hesabınıza o pencere içinde girebilir, pencere kapandığında kod geçersiz hale geliyor. SMS doğrulaması telefon numaranıza bağlı; SIM swap ya da ağ müdahalesiyle ele geçirilebiliyor, bu yüzden SMS'in authenticator uygulamasına kıyasla daha zayıf bir yöntem olduğu kabul ediliyor.
2FA'nın güçlü olduğu senaryo nettir: şifreniz sızdı ya da tahmin edildi, saldırgan giriş ekranına geçti, ama ikinci adımı aşamıyor. Bu noktada 2FA tam anlamıyla işe yarıyor. Şifreniz ne kadar güçlü olursa olsun, dünya genelindeki veri sızıntılarında milyonlarca kimlik bilgisi döküldüğü düşünüldüğünde, bu katmanın değeri somut.
Ama 2FA'nın koruyamadığı bir alan da var. Gerçek bir kimlik avı saldırısında — sizi hedef alan, gerçeğe yakın bir sahte giriş sayfasında — hem şifrenizi hem de anlık oluşturulan 2FA kodunuzu aynı anda ele geçiren bir araçla karşılaşmak mümkün. Saldırgan, sahte sayfaya girdiğiniz bilgileri gerçek siteye anlık olarak iletirse, geçerli olan o otuz saniyelik pencere içinde hesabınıza girebilir. 2FA bu tür gerçek zamanlı kimlik avına karşı katmanı güçlendiriyor ama tamamen kapatmıyor.
Passkey kimlik doğrulamanın bütününü farklı bir temele taşıyor
Passkey'in kimlik avına karşı güçlü olmasının nedeni mimarisel. Özel anahtar cihazı terk etmiyor. Sahte bir siteye hiçbir şey gönderilmiyor çünkü gönderilecek bir şifre ya da kod yok. Passkey'in çalışması için giriş yapılan adresin, passkey'in oluşturulduğu adresle tam olarak eşleşmesi gerekiyor. Sahte bir alan adında passkey başlatılmıyor bile — sistem onu tanımıyor. Bu özellik, kimlik avı saldırılarına karşı passiflerin en güçlü yanı.
Peki passkey kendi içinde "iki faktörlü" sayılabilir mi? Teknik açıdan bu sorunun yanıtı genellikle evet. Passkey oluşturulurken ve kullanılırken cihaz biyometrik doğrulama ya da PIN istiyor. Bu "sahip olduğunuz şey" (cihaz) ile "bildiğiniz ya da olduğunuz şey" (PIN ya da parmak izi) unsurlarını tek bir akışta birleştiriyor. FIDO2 standardı bu yapıyı iki faktörlü kimlik doğrulama olarak tanımlıyor. Dolayısıyla passkey, tek bir adımda iki faktörü kapsayan bir yapı sunuyor — ayrı bir 2FA adımı olmadan.
Ama burada önemli bir ayrıntı var. Bu "iki faktör" cihaz içinde gerçekleşiyor. Cihaz dışından, sunucu tarafından ek bir doğrulama istenmiyor. Yani passkey ile giriş yaptığınızda platform genellikle ayrı bir kod ekranı açmıyor — çünkü passkey'in mimarisi zaten bu kontrolü içeriyor. Bu durum, passkey destekleyen platformlarda giriş deneyiminin neden daha akıcı olduğunu açıklıyor.
Passkey ile giriş yapıldığında ikinci adım neden çoğunlukla istenmiyor
Bir platformda hem passkey hem de 2FA aktifse, passkey ile giriş yapıldığında ne oluyor? Büyük platformların çoğunluğu bu durumu şöyle yönetiyor: passkey giriş yöntemi olarak seçildiğinde biyometrik veya PIN doğrulama tamamlandıktan sonra ayrı bir 2FA kodu ekranı çıkmıyor. Çünkü platform, passkey'in zaten iki faktörlü doğrulama sağladığını kabul ediyor.
Şifreyle giriş yapıldığında ise 2FA adımı devrede kalmaya devam ediyor. Şifre girip geçtikten sonra authenticator uygulamasından ya da SMS'ten kod bekleniyor. Bu davranış beklenen ve doğru olan. Şifre tek başına zayıf bir faktör; ikinci adım orada tam anlamıyla gerekli.
Bazı platformlarda bu dinamik farklı işleyebiliyor. Özellikle kurumsal ortamlar veya daha katı güvenlik politikası olan servisler, passkey kullanılsa bile ek bir doğrulama adımı talep edebiliyor. Bu bir tercih meselesi; platform yöneticisi ya da güvenlik politikası bunu belirliyor. Bireysel hesaplarda ise çoğunlukla passkey giriş yolunu bağımsız ve tamamlanmış bir doğrulama olarak kabul eden yapı geçerli.
Authenticator uygulaması ile SMS arasındaki farkı düşündüğünüzde, passkey'in bu iki seçeneğin de ötesinde bir güvenlik seviyesi sunduğu görülüyor. SMS kodu ağ saldırısına ya da SIM swap'a açık; authenticator kodu gerçek zamanlı kimlik avına karşı kısmi koruma sağlıyor. Passkey ise kimlik avını mimarisel olarak ortadan kaldırıyor çünkü zaten yakalanabilecek bir sır bulunmuyor.
Passkey olan hesapta 2FA'yı kapatmak doğru bir karar mı
Bu sorunun yanıtı, büyük ölçüde hesabın nasıl kullanıldığına ve başka hangi giriş yöntemlerinin aktif olduğuna bağlı. Passkey kurulduğunda şifre genellikle hesapta kalmaya devam ediyor — büyük platformların büyük çoğunluğu şifreyi otomatik olarak silmiyor. Şifre hesapta kaldığı sürece, 2FA'yı devre dışı bırakmak o şifre üzerinden yapılacak olası bir giriş girişimini korumaya almayı bırakmak anlamına geliyor.
Pratik senaryo şöyle: Passkey kurulmuş, 2FA kapatılmış. Bir veri sızıntısında şifre açığa çıktı ve saldırgan bunu denedi. Passkey giriş ekranı çıktı ama şifreli giriş seçeneği de mevcut. Saldırgan şifreyi biliyor, passkey'i değil — ama 2FA da yok artık. Bu durumda şifre tek başına hesaba açılan kapı haline geliyor.
Öte yandan şifreyi tamamen hesaptan kaldırmak mümkün olsaydı ve passkey tek giriş yöntemi olsaydı, 2FA'yı kapatmak çok daha savunulabilir bir karar olurdu. Çünkü passkey'in kendisi zaten iki faktörlü yapıya sahip. Ama çoğu platform şifresiz hesabı henüz desteklemiyor ya da şifreyi kaldırmak ayrı bir süreç gerektiriyor. Yedek kodların da hesapta kayıtlı olduğu düşünüldüğünde, tüm bu giriş yolları bir arada duruyor.
Pratikte en güvenli yaklaşım şu: passkey ekleyin, şifre hesapta kalsın, 2FA'yı da açık tutun. Passkey kullandığınızda giriş akıcı ve güvenli oluyor; şifrenin var olmaya devam etmesi ise 2FA'nın koruduğu bir yedek yol anlamına geliyor. İki katmanı aynı anda tutmak performanstan değil güvenden ödün vermeden elde edilen bir denge.
Passkey'e henüz geçmemişseniz ya da sadece belirli cihazlarda kullanıyorsanız, 2FA'nın önemi daha da açık. Passkey'in bulunmadığı ortamda şifre tek faktör olarak kalıyor ve ikinci adım olmadan hesap yalnızca o şifreyle korunuyor. Passkey kurulumu tamamlanana dek 2FA'yı aktif tutmak en temkinli yaklaşım.
Passkey ile 2FA arasındaki ilişki rakiplik değil, tamamlayıcılık. Passkey, şifrenin doğasından kaynaklanan zafiyetleri ortadan kaldırıyor. 2FA ise şifrenin hâlâ hesapta bulunduğu gerçeğini göz önünde tutarak o kapıyı korumaya devam ediyor. Hangi yöntemin yeterli olduğunu belirleyen, hesabınızdaki aktif giriş yollarının toplamı. Passkey tek yol değilse, 2FA'nın görevini henüz devretmek için erken.
İki kavramı birbirine karıştırmak, her birinin koruma alanını gözden kaçırmaya yol açıyor. Passkey şifrenin ötesine geçiyor; 2FA şifrenin yanına ekleniyor. Aynı sonucu hedefleseler de çıkış noktaları, mekanizmaları ve korudukları tehdit modelleri farklı. Bu farkı görünür kılmak, hangi önlemin nerede işe yaradığını anlamanın ilk adımı.