Back to Blog

123456! : Parolalar ve Biyometrik Kimlik Doğrulama (WebAuthn)

YS
Yunus Saygınlı
February 25, 2026
8 min read
123456! : Parolalar ve Biyometrik Kimlik Doğrulama (WebAuthn)

Şifrelerin Son Kullanma Tarihi Doldu: Passkeys ve WebAuthn Devrimi

Selamlar! Dürüst olalım, bir web sitesine girerken "Şifremi Unuttum" butonuna tıklamaktan yorulmadınız mı? Her platform için en az 12 karakterli, büyük harf, küçük harf, rakam ve bir de hiyeroglif (!) içeren o karmaşık şifreleri hatırlamaya çalışmak...

Neyse ki, bu devir kapanıyor. Bugün, dijital kimlik doğrulamada (authentication) oyunun kurallarını tamamen değiştiren, hem biz geliştiriciler hem de son kullanıcılar için bir devrim niteliğinde olan teknolojiyi konuşacağız: Passkeys ve onun arkasındaki güç WebAuthn.

Şifreler Neden Artık Yetmiyor?

Klasik parola tabanlı sistemler miadını doldurdu. Phishing (oltama) saldırıları, veri ihlalleri ve kullanıcıların "123456" veya "password" kullanma konusundaki ısrarları yüzünden internet güvenliği pamuk ipliğine bağlı.

İki faktörlü doğrulama (2FA/MFA) bir yara bandıydı, SMS kodları ise güvensizdi. İnternetin yeni, güvenli ve hepsinden önemlisi sürtünmesiz bir giriş yöntemine ihtiyacı vardı.

Passkeys ve WebAuthn Nedir?

Passkeys, FIDO Alliance ve W3C tarafından geliştirilen WebAuthn (Web Authentication) standardı üzerine kurulmuş, şifresiz bir giriş yöntemidir.

Basitçe düşünelim: Artık sunucuya doğrulanmak için bir "sır" (şifre) göndermiyorsunuz. Bunun yerine cihazınız (telefonunuz, bilgisayarınız veya güvenlik anahtarınız) sizin adınıza sunucuyla konuşuyor ve "Ben buradayım, bu cihaz güvenli ve bu işlemi yapan gerçekten benim" diyor.

Nasıl Çalışıyor? (Teknik Olmayan Özet)

İşin mutfağında asimetrik kriptografi (public/private key pairs) var. Korkmayın, matematiğine girmeyeceğiz. Süreç şöyle işliyor:

  1. Kayıt (Registration): Bir siteye Passkey ile kayıt olduğunuzda, cihazınız bir anahtar çifti üretir.
  2. Özel Anahtar (Private Key): Cihazınızın en güvenli donanımında (Secure Enclave, TPM çipi vb.) saklanır. Bu anahtar asla cihazdan dışarı çıkmaz.
  3. Açık Anahtar (Public Key): Sunucuya gönderilir ve veritabanında saklanır.

Giriş yaparken, sunucu cihazınıza bir matematiksel bulmaca (challenge) gönderir. Siz FaceID'nizi veya parmak izinizi okutarak cihazınızdaki Özel Anahtarı açarsınız. Cihaz bu bulmacayı çözer (imzalar) ve geri yollar. Sunucu, elindeki Açık Anahtar ile çözümün doğru olup olmadığını kontrol eder. Bitti!

authn-using-biometrics-process.png

Neden Geçmeliyiz?

Passkeys sadece "havalı yeni bir teknoloji" değil, zorunlu bir yükseltme.

  • Phishing İmkansız Hale Gelir: Passkey'ler sadece oluşturuldukları orijinal domain'e (örn: yunussayginli.com) bağlıdır. Kullanıcıyı kandırıp yunussayginli-sahte.com adresine yönlendirseler bile, cihaz o sahte sitede Passkey'i kullanmayı reddeder.
  • Mükemmel UX (Kullanıcı Deneyimi): Şifre hatırlamak yok, klavyeyle uğraşmak yok. Sadece telefonuna bak (FaceID) veya parmağını dokundur (TouchID). Giriş yapmak 2 saniye sürüyor.
  • Sunucu Güvenliği: Veritabanınız hacklense bile, saldırganların eline geçen tek şey işe yaramaz "açık anahtarlar" olur. Çalınacak şifre yok!

Geliştirici Gözüyle Entegrasyon

Eskiden WebAuthn'i doğrudan entegre etmek biraz korkutucu bir süreçti. Neyse ki artık @simplewebauthn gibi harika kütüphaneler veya Clerk, Auth0 gibi kimlik sağlayıcılar bu süreci çocuk oyuncağına çevirdi.

Tarayıcı tarafında bu işin nasıl göründüğüne dair kavramsal bir JavaScript örneği:

// Not: Bu sadece tarayıcı API'sinin nasıl göründüğüne dair bir örnektir.
// Gerçek hayatta bu süreci yöneten bir kütüphane kullanırız.
 
// 1. Sunucudan gelen parametreler (Challenge vb.)
const publicKeyCredentialCreationOptions = {
    challenge: serverGeneratedChallengeBuffer,
    rp: { name: "Yunus Saygınlı Blog", id: "yunussayginli.com" },
    user: { id: userIdBuffer, name: "user@example.com", displayName: "Kullanıcı" },
    pubKeyCredParams: [{ alg: -7, type: "public-key" }], // ES256 algoritması
    authenticatorSelection: { authenticatorAttachment: "platform" }, // Cihazın kendisi (FaceID/TouchID)
    timeout: 60000,
    attestation: "direct"
};
 
// 2. Tarayıcı kullanıcıya biyometrik doğrulama sorar
// Kullanıcı parmak izini okuttuğunda 'credential' oluşur.
const credential = await navigator.credentials.create({
    publicKey: publicKeyCredentialCreationOptions
});
 
// 3. Oluşan 'credential' doğrulanmak üzere sunucuya gönderilir.
await sendCredentialToServer(credential);

Sonuç

Apple, Google ve Microsoft'un tam desteğiyle Passkeys artık bir standart haline geldi. Projelerimizde bu modern ve güvenli yönteme geçişi planlamak, kullanıcılarımıza (ve kendi güvenlik ekiplerimize) yapacağımız en büyük iyiliklerden biri.

Şifresiz bir gelecekte görüşmek üzere!