WebAuthn ve Passkey 2026 yılında şifresiz kimliğin küresel standardı haline geldi. FIDO Alliance 2025 yıllık raporu, 8 milyar Passkey aktivasyonunu raporluyor. Verizon DBIR 2025’e göre ihlallerin %68’i hâlâ çalıntı veya zayıf kimlik bilgisi kaynaklı.
WebAuthn ve Passkey: 2026 Tanım ve Pazar Bağlamı
WebAuthn (Web Authentication, W3C Recommendation Mart 2019, Level 3 yayında), FIDO2 spesifikasyonunun web tarafıdır. Public-private key çiftiyle şifresiz kimlik doğrulama yapar; private key kullanıcının cihazında secure element’te saklanır. Passkey, FIDO Alliance’ın 2022’de tanıttığı, synced WebAuthn credential’a verdiği pazarlama adı. Apple iCloud Keychain, Google Password Manager, Microsoft Authenticator senkronizasyonu sağlar.
FIDO Alliance 2025 verisi: 8 milyar Passkey aktive edildi, dünya genelinde 200+ büyük servis (Google, Apple, Microsoft, Amazon, eBay, PayPal, GitHub) destekliyor. Apple 2024 transparency report: iCloud Keychain üzerinden 1,2 milyar Passkey saklanıyor. Google 2025: Workspace ve consumer hesaplarda 2,8 milyar aktivasyon.
FIDO2 Ceremony: Registration ve Authentication
WebAuthn iki ceremony tanımlar. Registration (attestation): kullanıcı yeni cihazda hesap oluştururken authenticator key pair üretir, public key ve attestation statement server’a gider. Authentication (assertion): kullanıcı login sırasında authenticator imza üretir, server public key ile doğrular. Challenge-response model; replay attack koruması challenge ile sağlanır.
| Adım | Registration | Authentication |
|---|---|---|
| Server üretir | Challenge + RP info | Challenge + allowCredentials |
| Authenticator | Yeni key pair + attestation | Mevcut private key imza |
| Kullanıcı doğrulaması | Biometric/PIN | Biometric/PIN |
| Server doğrular | Attestation + public key kayıt | İmza + counter increment |
| Ortalama süre | 2-3 saniye | 1-2 saniye |
Synced vs Device-Bound Passkey
2 ana Passkey türü. Synced Passkey: Apple, Google, Microsoft cloud keychain üzerinden cihazlar arası senkronize edilir; UX’i pürüzsüz ama device-binding zayıf. Device-bound Passkey: hardware security key (Yubico, Feitian) veya secure element’te kalır; fintech ve devlet senaryolarında tercih edilir. FIDO2 attestation conveyance “direct” device-bound, “indirect” synced ayrımını sağlar.
- Synced (Consumer): iCloud Keychain, Google Password Manager, Microsoft Authenticator
- Device-bound (Enterprise): YubiKey 5 NFC, FIDO2 token, TPM 2.0
- Hybrid: Cross-device authentication QR kod ile mobil yardımı
- Platform Authenticator: Windows Hello, Touch ID, Face ID, Android biometric
- Roaming Authenticator: USB/NFC/Bluetooth security key
İlgili konu: Multi-factor authentication rehberimizde Passkey’in MFA üzerinde tek-faktör güvenliği sağlama mekanizmasını detaylandırdık.
Account Recovery: Kritik UX Problemi
Passkey’in en zorlu UX problemi recovery. Kullanıcı tüm cihazlarını kaybederse Passkey de kaybolur. Çözümler: synced Passkey ile bulut yedek (Apple/Google), backup security key kayıt zorunluluğu, ya da fallback recovery flow (email + KYC). Auth0 2025 verisi: Passkey-only login’e geçen siteler %18 destek talebi artışı gördü, ancak phishing kaynaklı hesap kaybı %91 azaldı.
Hibrit Implementation Pattern
Doğru rollout 3 fazlı. Faz 1: 2FA ek faktör olarak Passkey (mevcut password + Passkey). Faz 2: opsiyonel passwordless (kullanıcı tercih edebilir). Faz 3: şartlı zorunlu (kurumsal hesaplar). GitHub bu modeli kullanıyor; 2025 Q4 itibarıyla aktif kullanıcılarının %43’ü Passkey aktive etti, %12’si password-free.
| Faz | Süre | Riskler | Metrik |
|---|---|---|---|
| 1. 2FA Ek Faktör | 3-6 ay | Düşük | Adoption rate |
| 2. Opsiyonel Passwordless | 6-12 ay | Orta | Recovery talep |
| 3. Şartlı Zorunlu | 12-18 ay | Yüksek | Lockout rate |
| 4. Full Passwordless | 18-24 ay | Çok yüksek | Support load |
Sektörel Use Case: Bankacılık, B2B SaaS, E-ticaret
Bankacılıkta PSD2 SCA için Passkey “possession + inherence” iki faktörü tek transactional UX’te sağlar; ING, BBVA, Revolut 2024-25’te Passkey’i SCA aracı olarak kabul ettirdi. B2B SaaS’te Okta ve Microsoft Entra 2025 Q3 itibarıyla kurumsal Passkey GA. E-ticarette eBay, Amazon, Shopify Q3 2025’te checkout’ta Passkey desteği ekledi; sepet terkini %12 azalttı.
Kurumsal Passkey Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Recovery flow tasarlanmadan Passkey-only rollout — destek yükü 3 katına çıkıyor
- Cross-device synced ve device-bound Passkey ayrımının yapılmaması
- RP ID (Relying Party ID) yanlış konfigürasyonu — subdomain’lerde authentication çakışması
- Attestation conveyance “direct” istenmesi — Apple/Google attestation göndermiyor
- Counter increment doğrulanmaması — cloned authenticator tespit edilemiyor
- Kurumsal device-bound rollout için hardware security key tedarik zinciri planlanmaması
Sonuç
WebAuthn ve Passkey 2026’da phishing’e karşı tek somut mimari çözüm. 8 milyar aktivasyon ekosistemin olgunlaştığını gösteriyor. Pilot için en yüksek değerli kullanıcı segmentinden (admin, finans, geliştirici) başlayın. Recovery stratejisini Passkey öncesi tanımlayın; fallback olmayan Passkey rollout’u 3 ay içinde destek krizi yaratıyor. Synced Passkey consumer için ideal; device-bound (YubiKey) regülasyon ağırlıklı veya kritik kurumsal hesaplar için. 12-18 aylık 4 fazlı rollout pattern’i en güvenli yol.
Sıkça Sorulan Sorular
Passkey güvenlik açısından SMS OTP’den ne kadar iyi?
NIST SP 800-63B SMS OTP’yi “restricted” kategoride; SIM swap saldırılarıyla aşılabilir. Passkey phishing’e dirençli (origin binding ile), SIM swap’tan etkilenmez, replay attack koruması native. Google 2024 verisi: Passkey kullanıcılarında phishing kaynaklı hesap kaybı %91 azaldı.
Cross-device authentication nasıl çalışır?
Kullanıcı laptop’ta login deneyince Passkey telefonda; tarayıcı QR kod gösterir, telefon tarar, BLE proximity check yapar, telefon authenticator olarak imzalar. CTAP 2.2 hibrit transport ile standartlaştı; Apple ve Google 2024’te tam destekledi.
Eski tarayıcılar Passkey’i desteklemiyor mu?
Chrome 108+, Safari 16+, Firefox 119+, Edge 108+ destekliyor; küresel desteğin %96’sı kapsıyor (CanIUse 2025). Eski tarayıcılar için fallback password + 2FA flow korunmalı. Mobil tarafta iOS 16+, Android 9+ Passkey API destekliyor.
Kurumsal SSO ile Passkey nasıl entegre olur?
SAML veya OIDC üzerinden IdP (Okta, Azure AD, Ping) Passkey’i WebAuthn olarak hayata geçirir; downstream uygulamalar değişmiyor. Okta 2025 Q1 verisi: Workforce Identity müşterilerinin %38’i Passkey’i 2FA olarak benimsedi.
Türkiye’de Passkey regülasyon engeline takılır mı?
Hayır. KVKK ve BDDK biometric data işlemeye sınırlı izin veriyor; ancak Passkey biometric veriyi cihazda tutar, server’a göndermez. Bu nedenle KVKK kapsamında veri sorumlusu sıfatıyla biometric data işlenmiş sayılmıyor. PSD2 SCA için BDDK Passkey’i 2024’te kabul etti.
Ömer ÖNAL
Mayıs 23, 2026Passkey’i ‘password yerine doğrudan koy’ diye yayına alanlar 3-4 hafta içinde recovery destek talepleriyle boğuluyor; kullanıcılar telefon kaybedince hesap erişimini kaybediyor. Doğru yaklaşım: önce 2FA ek faktör olarak Passkey, sonra opsiyonel passwordless, en son şartlı zorunlu. Cross-device sync için Apple ekosistemi smoother; Android cross-vendor sync hâlâ olgunlaşıyor. — Ömer Önal