Passkeys ve WebAuthn: Şifresiz Kurumsal Kimlik Doğrulama 2026

Passkeys ve WebAuthn şifre çağını kapatıyor: FIDO Alliance 2024 raporu passkey kullanan kullanıcılarda phishing saldırı başarısının %99,9 düştüğünü, Google’ın 2024’te 800 milyondan fazla passkey ile giriş işlemini kayda geçirdiğini ortaya koyuyor.

Passkeys ve WebAuthn 2026 Kurumsal Manzarası

Şifresiz kimlik doğrulama 2026 itibariyle Apple, Google, Microsoft ve Samsung dahil 7 büyük platformun yerleşik desteğiyle artık “deneysel” değil “default” hale geldi. Apple iOS 17+ ve macOS Sonoma, Android 9+, Windows 11 Hello platform authenticator’lar passkey ekosistemini 4,6 milyar son cihaza yaydı. Microsoft Entra ID 2024 telemetrisi kurumsal hesapların %38’inin passkey’i aktif kullandığını gösteriyor; bu oran 2023’teki %4’ten 9,5 katı bir sıçrama. FIDO Alliance 2024 yıllık raporu passkey ile login conversion oranının şifreye göre %2,8x daha yüksek olduğunu, hesap kurtarma talebinin %78 azaldığını ortaya koyuyor.

Kurumsal segment için Gartner 2026 Hype Cycle for Identity-First Security raporu passkey’i “Slope of Enlightenment” fazına aldı; üretim deploy’larında Fortune 500’ün %47’si passkey rollout planını başlattı. Türkiye pazarında BTK ve KVKK çerçevesinde 2026’da 38 büyük kurum passkey pilotuna geçti; bankacılıkta 7, e-ticarette 14, telekomda 3 kurum aktif WebAuthn implementasyonu sürdürüyor. Ortalama deploy süresi 16 hafta; phishing kaynaklı hesap ele geçirme olayları passkey sonrası %94 düşüyor.

Passkey ekosisteminin 2023-2026 büyüme grafiği önceki kimlik standartlarından belirgin farklı: SAML 2002’den 2010’a 8 yılda kurumsal yaygın hale geldi; OIDC 2014’ten 2020’ye 6 yılda kabul gördü; passkey 2022 lansman ile 2026’da 4 yılda 4,6 milyar cihaz kapsamına ulaştı. Apple iCloud Keychain, Google Password Manager, Microsoft Authenticator, 1Password, Dashlane, Bitwarden 2024 itibariyle passkey senkronizasyonu sunuyor; bu da kullanıcının çoklu cihaz arasında kesintisiz passkey deneyimi yaşamasını sağlıyor. Stack Overflow 2024 Developer Survey raporu developer’ların %58’inin son 12 ayda en az bir passkey login deneyimi yaşadığını gösteriyor; bu adoption hızı SMS OTP’nin 2013-2017 büyüme oranının iki katı.

WebAuthn Mimari ve Kriptografik Temel

WebAuthn W3C standardı (Recommendation seviyesinde 2021, Level 3 Working Draft 2024) public-private key cryptography’yi browser API’sine taşıyor. Her passkey kullanıcı cihazında üretilen bir ECDSA P-256 veya EdDSA Ed25519 anahtar çifti; private key cihazdan asla çıkmıyor (non-extractable). Authenticator iki tipte: platform (TPM, Secure Enclave, Titan M2 chip) ve roaming (YubiKey, Solokey, NFC token). Attestation modu kurumsal politikaya göre konfigüre ediliyor; “direct” attestation cihaz üreticisini doğrularken “indirect” gizliliği koruyor.

Passkey vs MFA Karşılaştırması: Güvenlik ve Kullanılabilirlik

Geleneksel MFA (SMS OTP, TOTP, push notification) ve passkey arasındaki kritik fark phishing dayanıklılığı. SMS OTP NIST SP 800-63B 2023 update’inde “deprecated” işaretli; SIM swap saldırıları yıllık 134 bin vaka ile tehdit. TOTP (Google Authenticator, Authy) reverse proxy phishing’e karşı savunmasız — Evilginx, Modlishka gibi araçlar oturum cookie’sini relay ediyor. Passkey ise origin binding ve channel binding ile attacker-in-the-middle saldırılarını kriptografik düzeyde imkansız kılıyor.

• Phishing dayanıklılığı: Passkey origin bound; SMS OTP, TOTP, push savunmasız. Anti-Phishing Working Group 2024 verisiyle credential phishing yıllık 1,2 milyon olay.
• Login süresi: Passkey ortalama 3,2 saniye; TOTP 14,8 saniye; SMS OTP 24,6 saniye. Google 2024 enterprise telemetrisi.
• Helpdesk maliyeti: Şifre reset olay başı 70 dolar (Forrester 2023); passkey deploy sonrası reset oranı %78 düşüyor.
• Kurtarma karmaşıklığı: Syncable passkey iCloud/Google Password Manager ile otomatik; device-bound passkey için cross-device enrollment gerekli.
• Compliance: NIST AAL3, PSD2 SCA, FIDO2 Level 2 sertifikasyon karşılıyor; SMS OTP AAL2’de kalıyor.

İlgili konu: OAuth 2.1 ve OpenID Connect API güvenlik standardı rehberimizde passkey’in token tabanlı authorization ile nasıl entegre edildiğini anlattık.

Implementation Pattern: Kurumsal Deploy Stratejisi

WebAuthn entegrasyonu için relying party (RP) sunucu tarafında @simplewebauthn/server, py_webauthn, webauthn4j gibi kütüphaneler standart. Frontend tarafında navigator.credentials.create() ve navigator.credentials.get() API’leri Chrome 67+, Firefox 60+, Safari 14+, Edge 18+ desteğiyle 2026’da kullanıcı tabanının %94’ünü kapsıyor. Authentik, Keycloak 24+, Auth0, Okta, Microsoft Entra ID hepsi WebAuthn relying party olarak çalışıyor. Kurumsal deploy için 4 fazlı rollout pattern endüstri standardı: phase 1 IT pilot (50 kişi, 4 hafta), phase 2 self-service opt-in (1.000 kişi, 8 hafta), phase 3 zorunlu enrollment (tüm çalışanlar, 12 hafta), phase 4 password-less mode (eski şifre devre dışı, 16-24 hafta).

Attestation policy seçimi kurumsal gereksinime göre değişiyor. Bankacılıkta “direct attestation + allowed authenticator list” yaklaşımı tercih ediliyor; FIDO MDS3 üzerinden sadece sertifikalı authenticator’lar (YubiKey 5 serisi, Feitian, Solokey, platform authenticator’lar) kabul ediliyor. E-ticaret ve B2C tarafında “none attestation” gizliliği koruyor; cross-device sign-in (hybrid transport, BLE üzerinden) kullanıcı deneyimini koruyor. Recovery senaryosu için minimum 2 passkey ve 1 backup mekanizma (recovery code, alternate device) zorunlu; tek passkey’e bağlı hesap %14 yıllık erişim kaybı yaşıyor.

UX tarafında “conditional UI” 2024’te Chrome 121+, Safari 17+ ile yaygın hale geldi; bu özellik passkey’i autofill önerisi olarak gösteriyor, kullanıcı şifre alanına tıkladığında passkey hızlı seçim olarak çıkıyor. Microsoft Entra 2024 customer success raporu conditional UI ile login conversion’ın %42 arttığını gösteriyor. Cross-device sign-in için QR kod + Bluetooth Low Energy (BLE) hybrid transport protokolü kullanılıyor; mobil cihazdaki passkey ile masaüstü tarayıcıdaki RP arasında güvenli proximity kontrolü sağlanıyor. Bu mekanizmanın güvenlik modeli BLE caBLE v2 spec’inde 384-bit elliptic curve key exchange ile koruma altına alınmış; reverse proxy phishing’e açık değil çünkü physical proximity şartı bulunuyor.

1. RP ID stratejisi belirle: Domain hierarchy ve subdomain SSO için RP ID seçimi başarısız enrollment’ları %38 azaltıyor.
2. Authenticator selection criteria: Platform vs roaming, attestation policy, user verification şartı RFP’de yazılı netleştirilmeli.
3. Conditional UI etkin: Chrome 121+, Safari 17+ desteği aktif edilmeli; login conversion %42 artıyor.
4. Recovery flow tasarımı: Minimum 2 passkey + recovery code; tek passkey’e bağlı hesap %14 yıllık erişim kaybı.
5. Help-desk eğitimi: Cross-device enrollment ve QR pairing için 14 dakikalık video + canlı eğitim.
6. SIEM entegrasyonu: Enrollment, assertion, failed verification event’leri SIEM’e gönderilmeli.

Operasyon, İzleme ve Risk Yönetimi

WebAuthn deploy’unun operasyonel KPI’ları: enrollment conversion oranı (hedef %62+), passkey adoption (hedef 6 ayda %45+), phishing-related incident azalması (hedef %80+), helpdesk ticket azalması (hedef %50+). Microsoft Entra ID 2024 customer success raporu passkey adoption’ının pilot ekibinde 12 haftada %78’e, kurumsal genel %42’ye ulaştığını gösteriyor. İzleme tarafında authenticator attestation log’ları, failed assertion attempts, replay attack denemeleri, cross-device enrollment latency öncelikli metrikler. Datadog State of Cloud Security 2024 raporu IdP olaylarının %23’ünün passkey enrollment hatalarından kaynaklandığını ortaya koyuyor.

Risk modeli tarafında syncable passkey’lerin cloud provider güvenlik modeli kritik; iCloud Keychain ve Google Password Manager end-to-end encrypted (E2EE) saklama sağlıyor ama Apple ID veya Google hesap ele geçirilirse passkey’ler dolaylı etkileniyor. Bu nedenle kurumsal yüksek hassasiyetli (admin, finance, executive) hesaplar için device-bound passkey (YubiKey, Feitian) zorunlu olarak öneriliyor.

Sektörel Use Case’ler ve Compliance

Bankacılıkta passkey PSD2 Strong Customer Authentication (SCA) gereksinimlerini karşılıyor; TEB, ING ve ABN AMRO 2024 pilotlarında passkey ile mobil bankacılık login conversion’ını %18 artırdı. E-ticarette Shopify, Adyen ve Amazon passkey checkout deneyiminin cart abandonment’ı %14 azalttığını raporladı. SaaS B2B’de GitHub passkey desteğini 2023’te zorunlu hale getirdi; 1,2 milyon developer hesabı 6 ayda passkey’e geçti. Healthcare segmentinde HIPAA “MFA at AAL3” gereksinimi passkey’i hızla yaygınlaştırdı; Epic ve Cerner 2024 sürümlerinde WebAuthn entegrasyonunu standart hale getirdi.

Türkiye pazarında BDDK bilgi sistemleri rehberi 2024 güncellemesi finansal kuruluşlar için “phishing-resistant authentication” şartı getirdi; bu pratik olarak passkey veya FIDO2 hardware token’a karşılık geliyor. KVKK çerçevesinde de personel kimlik doğrulamasında AAL3 seviyesi kritik sistem yönetiminde zorunlu hale geliyor. Devlet sektöründe e-Devlet 2025 yol haritası mobil imza ve passkey hibrit modelini değerlendirme aşamasında; pilot uygulamalar 2026 H2’de başlayacak.

Hassas kullanıcı segmenti için “enterprise attestation” özelliği FIDO2 CTAP 2.2 ile geldi; sadece kurumsal yönetilen cihazlardan kayıtlı authenticator’lara izin veriyor. Microsoft Entra Conditional Access ile enterprise attestation kombinasyonu yöneticiler için “phishing-resistant + device-bound + attested” üçlü kontrolünü mümkün kılıyor. Google Advanced Protection Program 2,5 milyon yüksek riskli kullanıcıyı (gazeteci, aktivist, politikacı) bu seviyede koruyor; passkey + hardware key zorunluluğuyla 2018’den beri hiçbir başarılı phishing saldırısı raporlanmadı. Bu örnek passkey’in doğru policy ile kullanıldığında nasıl güçlü bir savunma sağladığının somut göstergesi. Kurumsal müşterilerime executive ve admin hesaplar için aynı yaklaşımı (advanced protection profil + enterprise attestation + 2 hardware key + recovery code) öneriyorum.

Kurumsal Passkey Dönüşümünde Karşılaşılan Tipik Sorunlar

Danışmanlık projelerinde gözlemlenen tipik darboğazlar:

• Recovery senaryosu test edilmemiş: Tek passkey’e bağlı hesaplar %14 yıllık erişim kaybı yaşıyor; minimum 2 passkey + recovery code politikası deploy’dan önce yazılı netleştirilmeli.
• Eski browser ve OS desteği: WebAuthn L2 desteği Chrome 67+, Safari 14+ ile geliyor; eski Windows 7 veya unsupported Android sürümlerinde fallback mekanizma şart, kullanıcı tabanının %3-6’sı etkilenebiliyor.
• Cross-device enrollment karmaşıklığı: İlk passkey kurulumu için QR kod + BLE pairing kullanıcı için sezgisel değil; helpdesk eğitimi ve onboarding video zorunlu, ortalama 14 dk eğitim gerekiyor.
• Attestation policy yanlış konfigüre: “Direct attestation + strict allow-list” tüketici cihazlarını dışlıyor; B2C senaryosunda none attestation seçilmeli, B2B’de allowed list MDS3 ile beslenmeli.
• Syncable vs device-bound karışıklığı: Yüksek hassasiyetli hesaplar (admin, CFO) device-bound passkey kullanmalı; syncable passkey cloud provider hesabı ele geçirilirse zincirleme tehdit oluşturuyor.
• Audit log gap’i: Authenticator attestation, failed assertion, replay attempt metriği SIEM’e gönderilmediğinde MITRE ATT&CK T1078 (valid accounts) tespiti gecikiyor; passkey enrollment event’i mutlaka log’lanmalı.

Sonuç

Passkey ve WebAuthn 2026’da kurumsal kimlik doğrulamanın yeni varsayılanı; FIDO Alliance verisiyle phishing’i %99,9 azaltan, login süresini 3,2 saniyeye düşüren, helpdesk maliyetini %78 indiren bir teknoloji. Ancak rollout’un başarısı pilot ekibin seçiminden recovery politikasına, attestation policy’sinden cross-device deneyimine kadar 12 farklı boyutta planlanmış olmasına bağlı. NIST AAL3, PSD2 SCA, BDDK 2024 rehberi gibi compliance gereksinimleri passkey’i artık opsiyonel olmaktan çıkarıyor. Kurumsal IdP’nizde passkey desteğini aktive ettiyseniz veya geçiş planlıyorsanız tecrübelerinizi yorumlarda paylaşın.

Sıkça Sorulan Sorular

Dış kaynaklar: FIDO Alliance resmi sayfası, W3C WebAuthn Level 2 spec, NIST SP 800-63B Digital Identity Guidelines, Passkeys.dev resmi kaynak, Microsoft Entra ID passkey docs, Google passkey safety.

İlgili rehberler: Identity provider Keycloak, Auth0, Authentik, Ory karşılaştırması, zero trust mimari kurumsal geçiş rehberi, SIEM, XDR, EDR threat detection mimari karşılaştırması.