Passkey’lerde hâlâ sorun var

 (fy.blackhats.net.au)
7 puan yazan GN⁺ 2025-12-19 | 4 yorum | WhatsApp'ta paylaş
  • 2025 itibarıyla passkey’ler, güvenlik ve kullanım kolaylığı tartışmaları sürerken hâlâ kullanıcı deneyimi ve satıcıya bağımlılık sorunları taşıyor
  • Yeni sunulan FIDO Credential Exchange, sağlayıcılar arasında geçişi mümkün kılsa da platformlar arası sürtünme ve parçalanma sorunu devam ediyor
  • Apple, Google, Microsoft gibi platform yöneticilerinde yedekleme yapılamaması ve kilitlenme riski sürüyor; kullanıcı seçimini sınırlayan UI tasarımı da sorun olarak gösteriliyor
  • Passkey kavramının anlaşılmasının zor olması ve servislerin yanlış anlamaya yol açan iletişimi, genel kullanıcı güvenini düşürüyor
  • Kritik hesapları korumak için kullanıcının kendi denetimindeki bir Credential Manager ve Yubikey gibi donanım anahtarları kullanmak önemli

TL;DR özeti

  • Passkey’lerde hâlâ kusurlar var ve kullanıcıların bunları anlayıp kendi koşullarına uygun şekilde kullanması gerekiyor
    • Yalnızca platform sağlayıcılarının (Apple, Google, Microsoft) Credential Manager’ını kullanmak, yedekleme yapılamaması ve kilitlenme riski taşır
    • Bitwarden, Vaultwarden gibi yedeklenebilir Credential Manager kullanımı önerilir
    • FIDO Credential Exchange ile harici bir Credential Manager’a düzenli senkronizasyon gerekir
    • E-posta gibi önemli hesaplarda, passkey deposu olarak Yubikey kullanılmalı; yardımcı yöntem olarak da güçlü parola + TOTP korunmalıdır
    • Credential Manager’a erişilemediğinde kullanılacak kurtarma yolunun önceden kontrol edilmesi gerekir

Son 1 yıldaki değişimler

  • Başlıca değişim, FIDO Credential Exchange spesifikasyonunun devreye girmesi oldu
    • Bu sayede passkey sağlayıcıları arasında kimlik bilgisinin taşınması mümkün hâle geldi
  • Ancak platformlar arası sürtünme ve ekosistem kopukluğu hâlâ sürüyor
    • Farklı cihazlar arasında passkey’ler parçalanabilir ve kullanıcı bunun farkına varmayabilir
    • Apple cihazlarındaki passkey’ler Apple dışı cihazlara senkronize edilemezken, Google ve Microsoft’ta bu kısmen mümkün
    • Apple kullanıcıları daha güçlü bir bağımlılık hissedebilir

Passkey kavramının anlaşılmasının zorluğu

  • Parola, “bildiğim şey”; SMS 2FA ise “alabildiğim şey” olarak sezgisel biçimde anlaşılabilir
  • Buna karşılık passkey, gözle görülmeyen bir kimlik doğrulama unsurudur; kullanıcı bunu doğrudan göremez veya yazdırıp saklayamaz
  • Süreçte Credential Manager’a güvenmek gerekir, ancak passkey bu güven aşamasını atlatıyormuş gibi davranır
  • Güvenlik uzmanlarının bile passkey’in nasıl çalıştığını karıştırabildiği ölçüde anlama eşiği yüksektir

‘Thought leadership’ ve kullanıcı eğitimi sorunu

  • Sektörden bazı isimler “parola yönetimini öğrenmek, sektörün başarısızlığıdır” dese de,
    gerçekte passkey için de Credential Manager’ı anlamak şarttır
  • Parola ve TOTP’yi tercih eden kullanıcılar, kibirli oldukları için değil kullanılabilirlik sorunları nedeniyle bunu seçiyor olabilir
  • Passkey’in kullanıcı eğitimi olmadan da çalışacağı inancı, gerçeklikten kopuk bir algıdır
  • Kullanıcı yeterince anladıktan sonra yine de passkey yerine başka bir yöntemi seçiyorsa, bu o kullanıcı açısından passkey’in başarısız olduğu anlamına gelir

Süren satıcı bağımlılığı

  • FIDO Credential Exchange olsa bile, gerçek kullanım sürecindeki sürtünme ve UI ile yönlendirme tasarımı geçiş maliyetini yükseltiyor
  • Apple’ın passkey oluşturma penceresi varsayılan olarak Apple Keychain kullanımına yönlendiriyor;
    diğer seçenekler (güvenlik anahtarı, Android vb.) ‘Other Options’ altında gizleniyor
  • Kullanıcının seçimi hatırlanmıyor ve her seferinde varsayılana geri dönülüyor
  • Google Chrome da benzer bir yapıya sahip ve kullanıcıyı platform ekosisteminde kalmaya yönlendiriyor
  • Bu yalnızca verinin nerede saklandığıyla ilgili değil; genel kullanıcı deneyimine yayılan bir bağımlılık yaratıyor

Bulut keychain verisi kaybı

  • Apple Keychain içinde passkey’lerin kaybolması ya da Android cihazlarda oluşturulamaması veya kullanılamaması vakaları sürüyor
  • Bazı vakalarda cihazı sıfırlamak bile çözüm olmuyor ve kullanıcının hesaba erişimi tamamen kesiliyor
  • Bu tür sorunlar, passkey’e duyulan güvenin azalmasına yol açıyor

Satıcı kaynaklı hesap kilitlenmesi

  • Apple hesap kilitlenmesi vakalarında tüm passkey’ler kurtarılamaz biçimde kaybolabiliyor
  • Benzer vakalar Google ve Microsoft tarafında da görülüyor
  • Tek bir hesap işleminde tüm kimlik bilgilerinin yok olma riski bulunuyor

Kimlik doğrulama servislerinin yanlış anlamaya yol açan iletişimi

  • Bazı servisler, “passkey’in yüz ya da parmak izi verisini gönderdiğini” açıklıyor
  • Oysa gerçekte biyometrik veri cihazın dışına çıkmaz; buna rağmen
    genel kullanıcı bunu ‘yüz/parmak izi internete gönderiliyor’ şeklinde yanlış anlayabiliyor
  • Bu tür açıklamalar, passkey’e karşı güvensizlik ve isteksizlik doğuruyor
  • Platform sağlayıcılarının UI’ları da bu yanlış anlamaları gidermekte başarısız kalıyor

Kullanıcı seçimini sınırlayan kimlik doğrulama servisleri

  • Bazı web siteleri hâlâ yalnızca tek bir passkey’e izin veriyor ya da
    authenticatorAttachment seçeneğiyle yalnızca platforma bağımlı passkey’leri zorluyor
  • Bu da güvenlik anahtarlarını veya platform dışı Credential Manager kullanımını engelliyor
  • Bazı siteler, giriş sırasında önceden açık onay almadan otomatik passkey kaydı denemesi yaparak etik dışı uygulamalar sergiliyor

Sonuç ve öneriler

  • Sorunların çoğu, platform sağlayıcı merkezli passkey yönetim yapısından kaynaklanıyor
  • Kullanıcılar, kendi denetimindeki bir Credential Manager ile
    hesap kilitlenmesi ve veri kaybı riskini azaltmalı, ayrıca düzenli yedekleme yapmalı
  • Yubikey (firmware 5.7 ve üzeri) en fazla 150 passkey saklayabiliyor
    • Bazı hesaplarda yazılım tabanlı Credential Manager’ın yerine geçebilir
  • E-posta hesabı, kurtarma yolunun merkezi olduğundan
    donanım anahtarı + güçlü parola + TOTP birlikte kullanılmalı ve çevrimdışı yedek korunmalıdır
  • Apple, Google gibi platformlar, kullanıcının seçimini hatırlamalı ve
    güvenlik anahtarı ile diğer sağlayıcı seçeneklerini UI içinde eşit düzeyde sunmalıdır
  • Geliştiriciler, WebAuthn API’de ön filtreleme yapmaktan kaçınmalı ve
    passkey kaydını kullanıcıya açıkça bildirdikten sonra başlatmalıdır
  • Temel ilke, kullanıcı denetimi ve onayın (consent) güvence altına alınmasıdır

İlgili okumalar

4 yorum

 
roxie 2025-12-19

Ben passkey'i seviyorum,,
 
yeobi222 2025-12-19

Kullanıcı güvenlik sistemi yapısını anlamazsa, bu yalnızca güvensizliği artırır
Kullanılabilirliğinin gerçekten iyi olduğunu söylemek de biraz zor
 
koxel 2025-12-19

Google Şifre Yöneticisi'nden bir kez silince her şey uçup gitti; tekrar düzenledikten sonra bitwarden'a geçtim..
 
GN⁺ 2025-12-19
Hacker News görüşleri

  • Yazarın hâlâ passkey konusunda bazı yanlış anlamaları var. Birçok kişi passkey kaybolursa geri getirilemeyeceğini düşünüyor, ama pratikte bu bir parolayı kaybetmekten farklı değil. Çoğu hizmette e-posta veya SMS ile parola sıfırlama mümkün. Ancak Apple, Google, Facebook gibi hesaplarda kurtarma süreci karmaşık olduğu için yedek kodları yazdırıp güvenli bir yerde saklamak gerekiyor. Ayrıca password manager'a giriş için son bir parola ya da YubiKey gibi harici bir yönteme mutlaka ihtiyaç var

    • Passkey kullanılmadan önce de Apple ve Google hesaplarında hesaptan kilitlenme sorunu olup olmadığını merak ediyorum. Şu anda passkey'ler kullanıcı tarafından doğrudan yedeklenemiyor veya dışa aktarılamıyor; güvenlik mühendisleri anahtar kopyalamayı engellemeye fazla odaklandığı için milyarlarca insan kilitlenme riskiyle karşı karşıya kalıyor. Bu yaklaşım düzenleyici risk de yaratabilir
    • Passkey'nin sıfırlanabilir olup olmaması hizmet sağlayıcının uygulamasına bağlı. Bazı yerlerde yalnızca telefonla kurtarma yapılabildiğine dair şikâyetler de vardı
    • Apple ve Google hesapları diğer çoğu parola ve passkey'yi sakladığı için, bu hesapları kaybetmek çok daha ciddi bir sorun
    • Passkey'ler her cihazda bağımsız olarak bulunur; her cihaza kurmak zorunda değilsiniz. Diğer cihazlarda sadece parola ile giriş yapmak yeterli

  • Passkey konusunda iki şeyin iyileştirilmesini isterdim.

    1. Kayıtlı yalnızca bir cihaz varken bile arayüz gereksiz seçenekler gösteriyor
    2. Başından beri SSH anahtarları gibi taşınabilir ve esnek olsaydı çok daha iyi olurdu. Şu anda üreticiye bağımlılık fazla güçlü
    • Mac'te güvenlik anahtarı düğmesine önce basarak seçim adımını atlayabilirsiniz
    • Seçenekleri gizlemek yerine gri göstermeli ve “kayıtlı anahtar yok” demeli. Böylece kullanıcı sorunun nedenini anlayabilir
    • Passkey sistemi oltalamaya karşı dayanıklı olacak şekilde tasarlandığı için kullanıcıların kimlik bilgilerini doğrudan dışa aktarmasına izin vermiyor. Sonuçta bu yapı vendor lock-in ile bitiyor. Örneğin Safari'de passkey kullanmak için iCloud Keychain şart; dolayısıyla yalnızca yerel kullanım mümkün değil
    • Teknik konulara hâkim olmayan kullanıcılar için passkey iyi bir seçenek olabilir. Yine de kurtarma kodlarını kâğıda yazıp güvenli şekilde saklamalarına yardımcı olmak gerekir

  • KeePass ile ilgili meseleye bakınca, sektörün kullanıcıların özel anahtar dışa aktarmasını engelleme yönündeki baskısının arttığı görülüyor. Bu eğilim endişe verici
    İlgili GitHub konusu

    • O başlıktaki yorumculardan biri benim. Varsayılan olarak şifrelenmiş yedek istemek, dışa aktarmayı engellemek değil; tam tersine kullanıcının anahtarı doğrudan kontrol etmesini sağlamak demek

  • Hizmet sağlayıcı passkey'nin nasıl saklanacağını (donanım/yazılım) dayattığı veya Touch ID benzeri MFA zorladığı sürece ben hâlâ parola + TOTP kombinasyonunu tercih ederim

    • (1) zaten mümkün değil. Hizmet sağlayıcı passkey'nin nasıl saklanacağını zorunlu kılamaz
    • (2) bu MFA değil, biyometrik doğrulamaya (liveness check) daha yakın. Yalnızca oturum açanın gerçekten fiziksel olarak orada olduğunu kanıtlama süreci
    • Acil durumlarda elle girilebilen bir yedeğe ihtiyaç var. Sonunda yine parolaya benzer bir yapıya dönülüyor

  • Üretici kullanıcıyı kilitleyebilir” düşüncesi yüzünden passkey'yi asla kullanmıyorum. Özellikle kullanıcı öldüğünde mirasçıların erişememesi büyük bir sorun

    • Buna dair örnekler var: Apple ID kurtarma başarısızlığı vakası, HN tartışması
    • Bazı password manager'lar çevrimdışı kök güven modeli sunuyor. Örneğin 1Password'ün Emergency Kit çözümü, yazdırılmış kurtarma kodu üzerinden mirasçıların veya aile bireylerinin erişmesine imkân tanıyor
    • İster parola ister passkey olsun, üreticinin politikası aynıysa erişim kısıtlaması da aynıdır
    • Bu tür sözleşmeleri hukuki bir trust yapısına dönüştürmek güzel olurdu, ama şirketler muhtemelen istemez
    • Passkey kaydını dayatan dark pattern arayüzler aşırı sinir bozucu. Yalnızca iş hesabımla kullanıyor olmama rağmen sürekli kayıt olmam isteniyor. Zaten SSO ve 2FA kullanıyorum; neden bir de passkey dayatılıyor, anlamıyorum

  • Passkey'nin kullanıcı deneyimi berbat. Kaç tanesinin etkin olduğunu bile bilmiyorsunuz, kimlik doğrulama uygulaması bazen passkey'yi unutuyor. Tam bir karmaşa

  • Parola + TOTP kombinasyonu hâlâ en pratik çözüm. Cihazlar arasında geçmek için sadece Bitwarden oturumu açmak yeterli. Buna karşılık passkey'de cihaz kaybı durumunda kurtarma süreci belirsiz. iPhone'da ayarlanan bir passkey'nin neden Linux masaüstünde de çalıştığı bile net değil. Yalnızca tek platform kullananlar için avantajlı

    • Birden fazla cihaz kaydettiyseniz veya senkronizasyon yaptıysanız kurtarma mümkün; aksi halde hesap kurtarma prosedürü dışında seçenek yok. Sonuçta paroladan daha iyi değil

  • Sonuç olarak passkey gereğinden fazla karmaşık bir tasarım. Kilitlenmeyi kabul ederseniz bazı sorunlar azalıyor ama yeni kısıtlar ortaya çıkıyor. TOTP gerçekçi bir alternatif

    • TOTP uğraştırıcı ama kullanıcı kontrolü var. Bu yüzden tek adımlı doğrulama gibi kullanabilmek için kendi yaptığım LazyOTP Chrome uzantısını kullanıyorum

  • Passkey, çoğu sıradan kullanıcı için harika bir çözüm. Karmaşık parola yönetimi ve yeniden kullanım sorunlarını ortadan kaldırıyor, giriş sürecini de basitleştiriyor.
    Konuyu teknik olarak anlayan biri olarak bile hızlı ve akıcı oturum açma deneyiminin çok daha iyi olduğunu düşünüyorum

    • Ama cihazınızı kaybeder veya bozarsanız tüm hesaplara erişim kesiliyor. Kâğıda yazılmış parolalarda böyle bir sorun yok
    • Passkey'nin en büyük avantajı oltalamaya karşı güçlü koruma sağlaması. Kimlik bilgilerini yanlış alan adına gönderemezsiniz
    • Ancak PC ile telefon arasındaki gizli anahtar senkronizasyon süreci belirsiz. Sonunda yapı tamamen Apple ekosistemine bağlıymış gibi duruyor
    • Gerçekte birden fazla platform arasında kusursuz şekilde çalışan bir uygulama henüz görmedim

  • Ben önceden password manager ve 2FA düzenimi kurmuştum; şimdi passkey'ye geçiş baskısı yüzünden tüm bu emeğin boşa çıkmış gibi hissettiriyor. Önceden hazırlık yapan insanların cezalandırıldığı bir teknoloji ortamından hoşlanmıyorum