Donanıma Bağlı Geçiş Anahtarları: Asıl Yarış Benimseme

1. Giriş: Tüketici Yarışını kim kazanacak?#

Donanıma bağlı geçiş anahtarları (hardware-bound passkeys) oturum açmanın en güvenli yoludur, ancak tüketici uygulamalarında neredeyse hiç kimse bunları kullanmıyor. Güvenlik anahtarı üreticileri ve akıllı kart üreticileri bu form faktörünü yıllardır öne çıkarıyor. Buna rağmen, FIDO Alliance Authentication Barometer 2024, tüketici bankacılığında donanıma bağlı geçiş anahtarı aktivasyonunun 2025'te hâlâ yüzde 5'in altında olduğunu gösteriyor.

Bunun nedeni basittir. StatCounter'a göre Apple ve Google mobil pazar payının yüzde 99'undan fazlasını kontrol ediyor ve kullanıcının ilk olarak hangi geçiş anahtarı türünü göreceğine onlar karar veriyor. Dolayısıyla tüketici yarışını en güçlü anahtara sahip şirket kazanmayacak. Donanımı yazılım, veri ve dağıtımla birleştiren şirket kazanacak.

1.1 Terminoloji: Donanıma Bağlı ve Senkronize Geçiş Anahtarları#

Donanıma bağlı geçiş anahtarları, özel anahtarı fiziksel bir güvenli elemanın içinde kilitli kalan FIDO2 kimlik bilgileridir. Anahtar asla cihazdan ayrılmaz. Senkronize geçiş anahtarları ise aynı FIDO2 kriptografisini kullanır ancak anahtarı iCloud Keychain, Google Password Manager veya üçüncü taraf bir yönetici aracılığıyla bulut üzerinden cihazlarınız arasında kopyalar. W3C WebAuthn Level 3 spesifikasyonu her ikisini de farklı bir depolama politikasına sahip aynı kimlik bilgisi türü olarak ele alır. Sektör ayrıca donanıma bağlı geçiş anahtarlarını "cihaza bağlı geçiş anahtarları" veya "donanıma bağlı WebAuthn kimlik bilgileri" olarak da adlandırır. Bu makalede her üçü de eşanlamlı olarak kullanılmıştır.

Yaygın bir yanılgı, telefon veya dizüstü bilgisayardaki güvenli bir eleman tarafından desteklenen her geçiş anahtarının donanıma bağlı olduğudur. Uygulamada, Apple Secure Enclave ve Android StrongBox, varsayılan olarak iCloud Keychain veya Google Password Manager aracılığıyla senkronize edilen geçiş anahtarlarını barındırır; bu nedenle özel anahtar buluttan kurtarılabilir (recoverable). Bugün tüketici pazarında anahtarı kesinlikle yerel tutan tek güvenli eleman Windows Hello TPM'dir ve Microsoft bile Edge içinde senkronizasyona doğru ilerlemektedir. Windows Hello ekstra donanım satın alımı gerektirmediğinden ve dizüstü bilgisayara yerleşik olduğundan, bu makale onu donanıma bağlı tüketici yarışı dışında tutmakta ve özel güvenlik anahtarlarına, FIDO2 akıllı kartlarına ve kripto cüzdanlarına odaklanmaktadır.

Bu tek fark - anahtarın donanımdan ayrılıp ayrılamayacağı - NIST güvence seviyesinden kurtarma akışına kadar neredeyse tüm alt özellikleri belirler. NIST SP 800-63B donanıma bağlı geçiş anahtarlarını en yüksek seviye olan AAL3'e yerleştirirken, senkronize geçiş anahtarları AAL2 ile sınırlıdır. Bu tek adımlık fark, PSD2, PSD3, NYDFS Part 500, Hindistan'daki RBI 2024 ve APRA CPS 234 dahil olmak üzere, sahiplik faktörü (possession factor) zorunluluğu arayan düzenleyiciler için önemlidir.

1.2 Senkronize Geçiş Anahtarları Neden Varsayılan Konumu Kazandı#

Senkronize geçiş anahtarları varsayılan konumu aldı çünkü Apple ve Google bunları önce piyasaya sürdü ve istemleri (prompts) onlar kontrol ediyor. Apple'ın geliştirici sürüm notlarına göre Apple, 2021'de iCloud Keychain geçiş anahtarı desteğini ekledi, Google Password Manager onu 2022'de takip etti ve her ikisi de senkronize kimlik bilgilerini doğrudan otomatik doldurma çubuğunda göstermek için WebAuthn Conditional UI kullandı. Bir donanım kimlik doğrulayıcısı (authenticator), her varsayılan akışta bir ila üç tık daha derinde yer alır.

FIDO Alliance Online Authentication Barometer 2024, küresel çapta tüketicilerin yüzde 64'ünün geçiş anahtarlarını fark ettiğini ve yüzde 53'ünün en az bir hesapta geçiş anahtarlarını etkinleştirdiğini bildiriyor. Bu kayıtların neredeyse tamamı senkronize anahtarlardır.

1.3 Tüketici Yarışı Gerçekte Nerede Yaşanıyor#

Bu makalede "tüketici" CIAM (Müşteri Kimlik ve Erişim Yönetimi) anlamına gelmektedir. Bir bankaya, bir kripto borsasına, bir devlet cüzdanına veya bir içerik üretici platformuna giriş yapan dış müşterilerden bahsediyoruz. Donanıma bağlı geçiş anahtarlarının halihazırda hakim olduğu iş gücü girişinden bahsetmiyoruz. Asıl ilginç olan soru, bundan sonra hangi tüketici yolculuklarının açılacağı ve buraya ilk kimin ulaşacağıdır.

Yarış, tüketicilerin fiilen edinmesi gereken iki form faktörünü ve üç dağıtım yolunu kapsıyor.

• Form faktörleri: USB veya NFC güvenlik anahtarları ile ödeme kartlarına yerleşik FIDO2 akıllı kartlar. Kripto donanım cüzdanları ise üçüncü bir niş kategori olarak bu ikisinin yanında yer alır.
• Dağıtım yolları: Tüketicilere doğrudan satışlar, bankalar veya devletler tarafından kullanıcılarına gönderilen cihazlar ve bireysel saklama yapan kullanıcılar tarafından satın alınan kripto cüzdanları.

1.4 Bu Makalenin Tezi#

İyi donanım gereklidir, ancak artık yeterli değildir. En güçlü çipe sahip satıcı tüketici benimsemesini otomatik olarak kazanmayacaktır. Gerçek darboğazlar silikonun üstünde yer alıyor: Tarayıcı istemleri, farklı Android telefonlardaki NFC yığınları, cihaz kaybından sonra kurtarma tasarımı ve tüketici dağıtımı. Kazanan, donanımı benimseme mühendisliği ve geçiş anahtarı gözlemlenebilirliği ile birleştiren şirket olacaktır.

Bu makalenin geri kalanı tarihi, oyuncuları, engelleri, gerçek dünyadaki kullanım senaryolarını ve kurumsal (enterprise) pazardan çıkıp tüketici (consumer) pazarına girmek isteyen her şirket için pratik bir başucu kitabını ele alıyor.

2. Donanım Kimlik Doğrulayıcıları Buraya Nasıl Geldi?#

Donanıma bağlı kimlik bilgileri yeni bir şey değil. FIDO'dan yaklaşık 30 yıl daha eskiler. PKI akıllı kartları 1990'larda NIST FIPS 201 PIV standardı ile standartlaştırılarak devlet kurumlarına geldi. RSA SecurID token'ları kurumsal VPN'lerde onu izledi. EMV çipli ve PIN'li kartlar 2002'de ödemelere ulaştı. EMVCo bugün dolaşımda 12 milyardan fazla EMV kartı olduğunu bildiriyor; bu da ödeme kartlarındaki çipi tarihteki en büyük dağıtık donanım kriptografi platformu yapıyor.

IDEMIA, Thales ve Infineon tarafından yılda 3 milyardan fazla çip üretilen aynı güvenli eleman tedarik zinciri, şimdi FIDO2 akıllı kartlarının içindeki silikonu üretiyor. Donanım kimlik doğrulayıcılarını FIDO2'ye taşıyan üç büyük sektörel değişim, 2014 ile 2018 yılları arasında sadece dört yıl içinde gerçekleşti.

2.1 U2F'den FIDO2'ye (2014'ten 2018'e)#

FIDO Alliance, 2014 yılında çeşitli güvenlik anahtarı satıcıları tarafından gönderilen ilk donanım token'ları ile FIDO U2F'i başlattı. Krebs on Security'ye göre Google, U2F anahtarlarını 2017 yılına kadar 89.000'den fazla çalışanına dağıttı ve ertesi yıl oltalama (phishing) kaynaklı sıfır hesap ele geçirme vakası bildirdi. Ancak U2F sadece ikinci bir faktördü. Kullanıcıların hâlâ bir parolası vardı ve donanıma dokunmak yalnızca fazladan bir adımdı. Form faktörü kurumsal kaldı: Google personeli, devlet kurumları ve bir avuç kripto borsası için küçük bir USB anahtarı.

FIDO2 ve WebAuthn, 2018'de U2F'i tam bir parolasız çerçeveye dönüştürerek bunu değiştirdi. Eskiden ikinci bir faktörü destekleyen aynı güvenli eleman, artık birincil oturum açma kimlik bilgisini destekleyebiliyordu.

2.2 Geçiş Anahtarı (Passkey) Marka Değişimi (2022)#

Mayıs 2022'de Apple, Google, Microsoft ve FIDO Alliance, FIDO Alliance Authenticate konferansında ortaklaşa "geçiş anahtarı (passkey)" markasını piyasaya sürdü. Fikir, tüketicilerin hem senkronize hem de cihaza bağlı FIDO2 kimlik bilgileri için anlayabileceği tek ve basit bir kelime kullanmaktı.

Apple'ın geliştirici sürüm notlarına göre Apple, iCloud Keychain geçiş anahtarı senkronizasyonunu Eylül 2022'de iOS 16'da kullanıma sundu. Kimlik (Identity) bloguna göre Google bunu Ekim 2022'de Android 9 ve üzerinde takip etti.

Microsoft bu üçlü arasında en geride kalandı. Windows Hello belgelerine göre Windows Hello, 2015'ten bu yana TPM'e ve cihaza bağlı kimlik bilgileri sunuyordu, ancak tüketici hesapları yıllarca geçiş anahtarlarını cihazlar arasında senkronize edemedi. Microsoft, tüketici Microsoft hesapları için geçiş anahtarı desteğini ancak Mayıs 2024'te ekledi ve Microsoft Edge Password Manager içindeki senkronize geçiş anahtarları daha da geç, 2025'te geldi. Dolayısıyla, Apple ve Google senkronize tüketici geçiş anahtarları konusunda iki ila üç yıllık bir başlangıç avantajına sahipken, Microsoft kendi tarayıcısında cihazlar arası senkronizasyonu hâlâ yakalamaya çalışıyor.

Donanım satıcıları, dört büyük oyuncunun yaptığı bu büyük marka değişiminin güvenlik anahtarlarına ve akıllı kartlara olan talebi artırmasını bekliyordu. Ancak öyle olmadı. FIDO Alliance Barometresine göre, senkronize geçiş anahtarları yeni tüketici kayıtlarının neredeyse tamamını içine çekti.

2.3 2 Yola Ayrılma#

18 ay içinde ekosistem iki farklı yola ayrıldı. Tüketici yolunda, Apple ve Google'ın kendi yöneticileri (managers) etrafında varsayılan akışı oluşturduğu senkronize geçiş anahtarları hakimdi. Kurumsal yolda ise, BT departmanlarının iş gücü kimliği için güvenlik anahtarları veya FIDO2 akıllı kartları satın aldığı donanıma bağlı geçiş anahtarları hakimdi. FIDO Alliance, bu kurumsal pazarın yıllık donanım kimlik doğrulayıcı harcamasını 1 milyar ABD dolarının üzerinde değerlendiriyor.

Donanım satıcıları tüketiciden asla vazgeçmedi. Asıl soru, hâlâ inandırıcı bir yolları olup olmadığı ya da işletim sistemi (OS) katmanının onları tamamen dışarıda bırakıp bırakmadığıdır.

3. Tüketici Yarışında Kimler Rekabet Ediyor?#

Alan için iki form faktörü yarışıyor. Güvenlik anahtarları, meraklılara ve kurumlara doğrudan satışta lider. Akıllı kartlar bankalar aracılığıyla en büyük dağıtım kanalına sahip: EMVCo istatistiklerine göre her yıl 1,5 milyardan fazla EMV kartı çıkarılıyor.

Rekabet eden satıcılar iki kampa ayrılıyor. Güvenlik anahtarı üreticileri doğrudan son kullanıcılara ve işletmelere USB veya NFC anahtarları satıyor. Akıllı kart ve güvenli eleman üreticileri ise bankaların ihraç ettiği çipleri ve kartları üretiyor. Her bir kamp farklı bir birim maliyet sorunuyla karşı karşıya ve hiçbiri tüketici dağıtım açığını tek başına çözemedi.

3.1 Güvenlik Anahtarı Form Faktörüne Kim Liderlik Ediyor?#

Bu segmentte çeşitli güvenlik anahtarı üreticileri rekabet ediyor. Modern güvenlik anahtarları tipik olarak USB-A, USB-C, NFC ve Lightning üzerinden FIDO2, FIDO U2F, akıllı kart PIV, OpenPGP ve OTP'yi destekler; bazıları ek olarak cihaz üzerinde bir parmak izi sensörü de sunar. Aşağıdaki tablo, tüketici ve kurumsal pazardaki en önemli satıcılara genel bir bakış sunmaktadır.

Üreticilerin fiyatlandırma sayfalarına göre tek bir cihazın maliyeti 40 ila 80 ABD dolarıdır; bu da kurumsal bir ortamda yönetilebilir bir durumken, tüketici ölçeğinde benimsenmeyi öldürmektedir. Bu fiyat etiketiyle birlikte gelen NFC, kurtarma ve dağıtım sorunları bölüm 4'te ayrıntılı olarak ele alınmaktadır.

3.2 Akıllı Kart Form Faktörüne Kim Liderlik Ediyor?#

Akıllı kart üreticileri, banka tarafından ihraç edilen FIDO2 segmentinde rekabet ediyor. Satıcı ortamı kart üreticileri ve çip tedarikçileri olarak ikiye ayrılıyor. (Arculus FIDO2 ürününü piyasaya süren) CompoSecure, IDEMIA, NagraID, Feitian ve TrustSEC gibi kart üreticileri FIDO2 kartlarının kendilerini üretir. Çip tedarikçileri, yani üç dev güvenli eleman üreticisi IDEMIA, Thales ve Infineon, çoğu kartın içindeki güvenli elemanları üretir. IDEX Biometrics, bir akıllı kartı biyometrik akıllı karta dönüştüren kart üzeri parmak izi sensörünü tedarik eder.

Kart ihraççılarına yönelik dağıtım, mevcut ödeme kartı tedarik zinciri aracılığıyla zaten çözülmüş durumdadır. Buradaki asıl zorluk, ihraççıları birim maliyet primini üstlenmeye ikna etmek ve NFC dokunuşunun cihazlar arasında güvenilir bir şekilde çalışmasını sağlamaktır.

Bir FIDO2 akıllı kartı, metal veya biyometrik bir kart gövdesinin 5 ila 15 ABD doları tutarındaki taban maliyetine 2 ila 5 ABD doları daha ekler. Juniper Research 2024'e göre, dünya çapında sevk edilen biyometrik ödeme kartları 2027 yılına kadar 140 milyon adedi aşacaktır.

3.3 Peki Ya Hibrit ve Yan Kullanımlar?#

Diğer birkaç ürün, her iki form faktörüne de tam olarak uymadan aynı kullanım durumu için rekabet eder. Ledger 7 milyondan fazla Nano cüzdan (wallet) sevk etmiştir; Trezor ise 2 milyondan fazla. Her ikisi de kripto depolamanın üzerinde ikincil bir özellik olarak FIDO2 sunar. Apple Secure Enclave ve Android StrongBox gibi telefondaki güvenli elemanlar, teknik olarak özel anahtarı donanımla korur. Ancak Apple ve Google geçiş anahtarlarını varsayılan olarak iCloud Keychain ve Google Password Manager üzerinden senkronize ettiğinden, kullanıcının gördüğü davranış donanıma bağlı bir geçiş anahtarı değil, senkronize bir geçiş anahtarıdır. Halka açık açıklamalara göre, Token Ring ve Mojo Vision yüzükleri gibi giyilebilir kimlik doğrulayıcıların (authenticators) sevkiyatı 100.000 birimin altında kalmıştır.

Başka bir deyişle, tüketici yarışı aslında güvenlik anahtarları ile akıllı kartlar arasında geçen iki yönlü bir rekabettir; kripto cüzdanları üçüncü bir dikey alan, giyilebilir cihazlar ise yüzde 1'in altında bir dipnottur.

4. Tüketici Benimsemesini Ne Engelliyor?#

Tüketici pazarlarında donanıma bağlı geçiş anahtarı benimsenmesini dört yapısal karşı rüzgar engelliyor: İşletim sistemi (OS) ve tarayıcı istem (prompt) hiyerarşisi, Android üzerinde NFC parçalanması, cihaz kaybı sonrası zorlu kurtarma süreci ve doğrudan tüketiciye maliyet. Bunların hiçbiri bir donanım satıcısı tarafından tek başına düzeltilemez.

4.1 İşletim Sistemi ve Tarayıcı Hiyerarşisi#

Apple'ın AuthenticationServices'i varsayılan olarak iCloud Keychain'i kullanır. Bir güvenen taraf (relying party) authenticatorAttachment değerini cross-platform olarak ayarlasa bile, kullanıcının önce platform ekranını kapatması gerekir. Google'ın Credential Manager'ı Android'de Google Password Manager ile aynısını yapar. StatCounter'a göre Safari ve Chrome birlikte mobil tarayıcı payının yaklaşık yüzde 84'ünü elinde tutuyor, bu nedenle tüm tüketici webi için istem (prompt) kullanıcı deneyimini (UX) fiilen iki satıcı belirliyor.

StatCounter üzerindeki küresel mobil pazar payı ile karşılaştırılan toplam güvenlik anahtarı sevkiyat verilerine dayanarak, tüketicilerin yüzde 99'undan fazlasının özel bir güvenlik anahtarına sahip olmaması nedeniyle, tarayıcılar donanım anahtarı kullanıcı deneyimine (UX) yeterince yatırım yapmıyor. Bu bir kısır döngü yaratır. Kötü UX düşük benimsenmeye yol açar. Düşük benimsenme yatırım yapılmaması demektir. Yatırım olmaması ise kötü UX'e yol açar.

4.2 Android'de NFC Parçalanması#

Android'de NFC davranışı üreticiler arasında büyük farklılıklar gösterir. Samsung, Xiaomi, Oppo ve Google Pixel, Android Open Source üzerinde farklı NFC yığınları (stacks) sunar. Android Issue Tracker'a göre, bazı Android 14 sürümleri 2024'te birkaç ay boyunca üçüncü taraf geçiş anahtarı sağlayıcısı (passkey provider) desteğini bile bozmuştur. Pixel 8'de sorunsuz okunan bir FIDO2 akıllı kartı, Galaxy S23 Ultra'da başarısız olabilir ve Xiaomi 14'te yine farklı davranabilir. Google Android Compatibility Program'dan gelen hiçbir merkezi test programı, tüketicilere ulaşmadan önce bu gerilemeleri yakalayamaz.

4.3 Kurtarma ve Kayıp#

Senkronize geçiş anahtarları, kullanıcı yeni bir cihazda oturum açtığında otomatik olarak kurtarılır. Donanım kimlik bilgileri ise bunu yapamaz. Güvenlik anahtarını kaybeden veya akıllı kartını kıran bir kullanıcının hesap kurtarma işleminden veya genellikle daha az güvenli olan yöntemlerden geçmesi gerekir. Verizon 2024 Data Breach Investigations Report, ihlallerin yüzde 68'inin, kimlik bilgisi kurtarmanın kötüye kullanımı da dahil olmak üzere kötü niyetli olmayan bir insan faktörü içerdiğini bulmuştur. NIST SP 800-63B de hesap kurtarmanın kimlik doğrulama ihlaline giden yaygın bir yol olduğu konusunda açıkça uyarır. Dolayısıyla, donanıma bağlama ancak kurtarma kanalı kadar güçlüdür; bu da güvenen tarafın (relying party) silikon satıcısı kadar güvenlik yükü taşıdığı anlamına gelir.

4.4 Dağıtım ve Maliyet#

Üretici fiyatlandırma sayfalarına göre tüketici sınıfı bir güvenlik anahtarı perakende olarak 40 ila 80 ABD doları arasında satılmaktadır. Hesabının risk altında olduğunu düşünmeyen bir tüketici basitçe bu parayı ödemeyecektir. Maliyeti üstlenen bankalar ve kripto borsaları cihazları ücretsiz verebilir, ancak bu durumda destek yükünü de onlar üstlenir. Bir kredi kartıyla birlikte sunulan akıllı kartlar, kart başına 5 ila 15 ABD doları olan temel maliyetin üzerine 2 ila 5 ABD doları ekler (Bkz. CompoSecure yatırımcı materyalleri dahil olmak üzere halka açık akıllı kart satıcısı açıklamaları).

Bu dört engel, FIDO Alliance Barometresi'ne göre donanım bir seçenek olarak sunulduğunda bile, senkronize geçiş anahtarlarının finansal hizmetlerdeki tüketici kayıtlarının neden yüzde 95'inden fazlasını oluşturduğunu açıklıyor.

5. Donanıma Bağlı Geçiş Anahtarları Gerçekte Nerede Kazanıyor?#

Üç tüketici kategorisi, insanlara özel donanım taşımaları için gerçek bir neden sunar: Bankacılık ve ödemeler, bireysel kripto saklama ve yüksek değerli hesaplar. Bunların her biri güçlü bir itici gücü, inandırıcı bir dağıtım yolunu ve sürtünmeyi haklı çıkaracak kadar ciddi sonuçları bir araya getirir. Bu üç segmentin dışında, genellikle kolaylık açısından senkronize geçiş anahtarları kazanır.

5.1 Bankacılık ve Ödemeler#

Bankalar en doğal dağıtım kanalıdır. Zaten müşterilere fiziksel kartlar gönderiyorlar. Ayrıca PSD2, PSD3, EBA Opinion on SCA, RBI 2FA, NYDFS Part 500 ve APRA CPS 234 kuralları altında faaliyet gösteriyorlar. Bu kuralların birçoğu, senkronize geçiş anahtarlarının açıkça karşılamadığı, kriptografik bir sahiplik faktörü gerektirmektedir.

"Kredi kartı olarak akıllı kart" tezi işe yarar çünkü kart zaten mevcuttur. CompoSecure 10-K raporuna göre, metal kart basan bir banka kart başına 5 ila 15 ABD doları ödüyor. Juniper Research'ün biyometrik kart maliyet analizine göre FIDO2 eklemek bunu 7 ila 20 ABD dolarına çıkarıyor. Bu tek kart daha sonra çip-ve-PIN, temassız NFC ödeme, ATM para çekme, çevrimiçi bankacılık girişi ve yüksek değerli 3DS işlem onayını gerçekleştirir. Tüketiciye asla "donanım kimlik doğrulayıcı ister misiniz?" diye sorulmaz. Kart basitçe postayla gelir.

5.2 Kripto ve Bireysel Saklama#

Kripto kullanıcıları zaten donanım taşıma fikrini kabul ediyor. Ledger 7 milyondan fazla Nano cihaz sevk etti ve kurumsal sayfasına göre 4 milyar ABD dolarının üzerinde kümülatif donanım geliri bildirdi. Trezor ise 2 milyondan fazla ünite sevk etti. Güvenlik anahtarları, kripto borsa MFA'sında (Çok Faktörlü Kimlik Doğrulama) da köklü bir konuma sahiptir; Coinbase, Kraken ve Binance FIDO2 anahtarlarını desteklemektedir.

Bir donanım cüzdanına FIDO2 eklemek artımlı bir mühendislik çalışmasıdır. 50.000 dolarlık bir portföyü koruyan 100 dolarlık bir cihaz, taşımaya kesinlikle değer. Kripto, kullanıcıların kendi inisiyatifleriyle donanım satın aldıkları tek tüketici kategorisi olmaya devam etmektedir.

5.3 Yüksek Değerli Tüketici Hesapları#

Daha küçük bir tüketici grubu, ele geçirilmesi geri döndürülemez olan hesapları korur. Tipik örnekler arasında birincil e-posta, devlet kimlik cüzdanları, YouTube veya Twitch'teki içerik üretici hesapları ve gazetecilik kimlik bilgileri bulunur. Google'ın Gelişmiş Koruma Programı (Advanced Protection Program), bu kohortu "gazeteciler, insan hakları çalışanları ve siyasi kampanya personeli gibi yüksek riskli kullanıcılar" olarak tanımlar.

OpenAI, Nisan 2026'da ChatGPT için Advanced Account Security (Gelişmiş Hesap Güvenliği) programı ile aynı oyun kitabını izledi ve Yubico ile yaklaşık 68 ABD dolarına ortak markalı bir YubiKey C NFC ve YubiKey C Nano ikili paketi sundu. Program parola, e-posta veya SMS ile oturum açmayı tamamen devre dışı bırakır ve geçiş anahtarları veya fiziksel güvenlik anahtarları gerektirir; gazetecileri, seçilmiş yetkilileri, muhalifleri ve diğer yüksek riskli ChatGPT kullanıcılarını hedefler. Kaç kullanıcının bu ekstra katman için 68 dolar ödeyeceğini söylemek için henüz çok erken, ancak yüksek değerli tüketici hesaplarının kripto ve bankacılık dışında gönüllü donanım benimsemesini sağlayıp sağlayamayacağının şimdiye kadarki en net testidir.

Cisco'nun 2024 Siber Güvenlik Hazırlık Endeksi (Cybersecurity Readiness Index) de kuruluşların sadece yüzde 3'ünün olgun bir güvenlik duruşuna sahip olduğunu bulmuştur. GAO 2024 siber güvenlik raporu, hesapların ele geçirilmesini federal siber güvenlik risklerinin ilk beşi arasında göstermektedir; bu da bu korumaya ihtiyaç duyan tüketicilerin havuzunu orijinal gazetecilik nişinin çok ötesine genişletmektedir.

6. Donanım Tek Başına Neden Kazanmayacak#

En iyi donanıma sahip olmak tüketici pazar payını garanti etmez. Bir donanım satıcısı ile uçtan uca tüketici ürünü arasında beş boşluk (gap) vardır: Dağıtım, ilk katılım (onboarding), kurtarma, cihazlar arası yolculuklar ve ölçüm. Her boşluk, silikon tasarımının dışında kalan beceriler gerektirir.

1. Dağıtım: Donanım şirketlerinin tüketicilerle gerçek bir doğrudan ilişkisi yoktur. Teoride herkes yubico.com'dan bir YubiKey sipariş edebilir, ancak pratikte alıcılar güvenlik uzmanları, BT yöneticileri ve küçük bir meraklı grubudur. Bu kanal, markayı hiç duymamış ve 50 dolarlık bir kimlik doğrulayıcıyı kendi başına aramayacak olan ana akım tüketicilere ölçeklenemez. Bankalar, telekomünikasyon şirketleri, perakendeciler ve işletim sistemi satıcıları tüketici ilişkisine sahip olan taraflardır, bu nedenle tüketici ölçeğinde bir donanım satıcısının bir ortağa veya beyaz etiket (white-label) anlaşmasına ihtiyacı vardır.
2. İlk Katılım (Onboarding): Tüketicinin bir geçiş anahtarı ayarlamak için atması gereken her adım size kullanıcı kaybettirir. Gerçek dünyadaki bankacılık dağıtımları, Baymard Institute sepet terk etme kriterleri ile uyumlu olarak, kayıt hunisi boyunca yüzde 30 ila 60'lık düşüş (drop-off) oranları bildirmektedir.
3. Kurtarma: Kurtarma hikayesi olmayan bir tüketici ürünü bozuktur. Kurtarma için hesap düzeyinde sinyallere, kimlik doğrulamaya (identity verification) ve risk puanlamasına ihtiyaç vardır; bunların tümü güvenen tarafın (relying party) içinde yaşar.
4. Cihazlar arası yolculuklar: Bir kullanıcı telefonda, dizüstü bilgisayarda, akıllı TV'de ve arabada oturum açar. Donanıma bağlı kimlik bilgisi ise yalnızca tek bir cihazda yaşar. Bu nedenle, çıkmaz sokaklardan kaçınmak için donanım ile senkronize kimlik bilgileri arasında akıllı yönlendirmeye (routing) ihtiyacınız vardır.
5. Ölçüm: Donanım satıcıları genellikle ürünü sevk eder ve unutur. Satılan birimleri ve etkinleştirilen lisansları sayarlar. WebAuthn seremonisinin başarısız olduğunu veya kullanıcının dokunmaktan vazgeçtiğini görmezler. Ölçüm olmadan, diğer dört boşluk kapatılamaz.

Bu beş boşluğu kendi ürünü içinde çözen satıcılar, uçtan uca kimlik doğrulama platformlarına dönüşürler. Bunu yapmayanlar bileşen işinde kalır ve başkasının platformuna satış yaparlar.

7. Gerçek Kaldıraç Nedir? Benimseme Mühendisliği#

Benimseme mühendisliği, donanıma bağlı geçiş anahtarlarını kaydı artıran, her seremoniyi ölçen ve bozuk yolları atlayarak yönlendiren bir yazılımla eşleştirmek anlamına gelir. Bu faaliyetlerin hiçbiri donanımla ilgili değildir. Tüketici pazarlarında kazanmak için dördü de gereklidir ve ancak kapalı bir döngü olarak çalışırlar. Aşağıdaki diyagram, dört faaliyetin birbirini nasıl beslediğini göstermektedir.

FIDO Alliance Authentication Barometer 2024, tüketicilerin yüzde 53'ünün en az bir hesapta geçiş anahtarlarını etkinleştirdiğini bildirmektedir, ancak düzenlemeye tabi yolculuklarda donanıma bağlı aktivasyon hâlâ yüzde 5'in altındadır. Bu 10 katlık bir farktır ve benimseme mühendisliği bunu kapatan şeydir. W3C WebAuthn çalışma grubu bu farkı bir spesifikasyon sorunu olarak değil, bir dağıtım sorunu olarak ele almaktadır.

7.1 Huni Düzeyinde Telemetri#

Huni düzeyinde, geçiş anahtarı gözlemlenebilirliği "kullanıcı oturum aça tıklar"dan "oturum token'ı verilir"e kadar her bir adımı ölçer. Bu enstrümantasyon olmadan, bir ekip "kullanıcı donanım seçeneğini görmedi", "kullanıcı gördü, dokundu ve NFC başarısız oldu" ile "kullanıcı seremoniyi tamamladı ancak güvenen taraf sonucu reddetti" arasındaki farkı anlayamaz.

Huni telemetrisi size gerçekten önemli olan metrikleri verir: Donanım-geçiş anahtarı aktivasyon oranı, cihaza göre donanım-geçiş anahtarı başarı oranı, tamamlama süresi ve adıma göre terk etme (abandonment). W3C WebAuthn Level 3 spesifikasyonu bir seremoninin döndürebileceği 14 farklı hata kodunu tanımlar, ancak FIDO Alliance Authenticate 2024 dağıtım konuşmalarına göre üretimdeki dağıtımların çoğu bunların beşinden daha azını enstrümante etmektedir.

7.2 Oturum Düzeyinde Teşhis#

Tek bir kimlik doğrulama başarısız olduğunda, destek ekiplerinin tam olarak ne olduğunu görmesi gerekir. Oturum düzeyinde teşhisler; aktarım tipini (NFC, USB veya BLE), CTAP hata kodunu, tarayıcıyı, işletim sistemi sürümünü, cihaz üreticisini ve seremonideki her adımın zamanlamasını yakalar. FIDO CTAP 2.1 spesifikasyonu, kimlik doğrulayıcıların döndürebileceği 20'den fazla hata kodunu tanımlar ve bunlar W3C WebAuthn Level 3 spesifikasyonunda belirli kullanıcı kurtarma eylemleriyle eşleştirilir.

Bu telemetri olmadan, destek temsilcisi yalnızca "oturum açma başarısız oldu" mesajını görür ve hesap kurtarma işlemine başlayabilir.

7.3 Cihaza Göre Akıllı Yönlendirme (Device-Intelligent Routing)#

Bazı cihaz ve işletim sistemi kombinasyonları sürekli olarak bozulur. Büyük dağıtımlardan elde edilen gerçek dünya verileri, tekil bozuk eşleşmelerde yüzde 40 ila 90 oranında iptal (abort) oranları göstermektedir; yaygın modeller Android Issue Tracker ve FIDO Alliance Authenticate 2024 konuşmalarında belgelenmiştir.

Bilinen bozuk kombinasyonlarda donanım seçeneğini gizleyen ve en iyi ikinci yola yönlendiren yönlendirme mantığı, kullanıcıları hata senaryosunun dışında tutar. Ancak bu yönlendirme kararlarını yalnızca, OpenSignal cihaz veritabanı tarafından izlenen yaklaşık 24.000 farklı Android cihaz modeli arasındaki bozuk eşleşmeleri gözlemlenebilirlik verileri belirledikten sonra alabilirsiniz.

7.4 İhraççılarla Sürekli Yineleme#

Gartner kimlik programları araştırmasına göre, bankalar ve fintech'ler tipik olarak 6 ila 12 aylık döngülerde pilot uygulamalar ve tam dağıtımlar yürütürler. Kazanan platform, gözlemlenebilirlik verilerini haftalık sürüm notlarına, hata düzeltmelerine ve istikrarlı bir şekilde artan başarı oranlarına dönüştürür. Üç aylık incelemelerle yapılan statik dağıtım, sürekli yinelemeye kaybeder.

8. Peki Tüketici Yarışını Gerçekte Kim Kazanıyor?#

Hiçbir saf donanım satıcısı tüketici yarışını kazanamaz. Tüketici kimlik doğrulama platformu rolü için üç arketip rekabet ediyor: Bankalar ve ihraççılar, yazılım katmanları oluşturan donanım satıcıları ve işletim sistemi (OS) platformları. Bankalar, fiziksel dağıtıma sahip oldukları ve PSD2 ile NYDFS Part 500'den yasal güvenceleri olduğu için bugün lider durumdalar. İşletim sistemi platformları sattıkları her telefonun ve dizüstü bilgisayarın içinde zaten silikona sahiptir, ancak Apple ve Google geçiş anahtarlarını varsayılan olarak senkronize ettiği sürece, donanıma bağlı geçiş anahtarlarında değil, senkronize geçiş anahtarlarında rakiplerdir.

8.1 Bankalar Bugün Neden Lider?#

Bankalar bugün tüketici donanımına bağlı geçiş anahtarı pazarına liderlik ediyor. Dört avantaj onların lehine birleşiyor. Zaten fiziksel kart basıyorlar. PSD2, PSD3, NYDFS Part 500, RBI ve APRA CPS 234'den yasal güvenceleri var. Tüketici güvenine sahipler. Ve halka açık akıllı kart satıcısı açıklamalarına göre, portföyleri genelinde 2 ila 5 ABD doları birim maliyet primini absorbe edebilirler.

Bu dört avantajı benimseme mühendisliğiyle birleştiren bankalar, geçiş anahtarı etkin müşterilerinden çok yıllı elde tutma (retention) sağlarlar. Bir donanım ürünü satın alan ve işin orada bittiğini varsayan bankalar ise sektörün son iki yıldır bildirdiği aynı tek haneli aktivasyon oranlarına ulaşır.

8.2 Peki ya Yazılım Geliştiren Donanım Satıcıları?#

İkinci arketip, aynı zamanda bir yazılım katmanı da oluşturan donanım satıcısıdır. Çeşitli güvenlik anahtarı ve akıllı kart üreticileri bu geçişe başladılar, ancak ne tür bir yazılım sundukları konusunda kesin olmakta fayda var. Bu ürünlerin çoğu, tüketici benimseme açığını kapatmak için gereken türden huni düzeyinde geçiş anahtarı gözlemlenebilirliği (passkey observability) değil, IAM, filo yönetimi veya uyarlanabilir kimlik doğrulama (adaptive authentication) platformlarıdır.

• Yubico, herhangi bir güvenlik anahtarı satıcısı arasındaki en eksiksiz platformu oluşturdu. YubiKey as a Service aboneliği; Okta, Microsoft Entra ID ve Ping Identity ile entegre, kullanıcı başına lisanslamayı, filo ve gönderi yönetimi için bir Müşteri Portalını, FIDO Pre-reg'i, bir Kayıt uygulamasını, SDK'yı ve küresel teslimatı birleştirir. Ürün temel olarak tüketici benimseme analitiği değil, kurumsal bir teslimat ve yaşam döngüsü katmanıdır.
• Thales, SafeNet eToken ve akıllı kart donanımını, SSO ve uyarlanabilir kimlik doğrulama özellikli bir bulut Hizmet Olarak Kimlik (Identity-as-a-Service) platformu olan SafeNet Trusted Access ile eşleştirir.
• OneSpan, DIGIPASS donanımını bankacılık ve fintech'e odaklanan OneSpan Cloud Authentication platformu ve Akıllı Uyarlanabilir Kimlik Doğrulama ile paketler.
• HID Global, Crescendo akıllı kartlarını HID Authentication Service ve HID Approve mobil kimlik doğrulayıcı ile birlikte gönderir.
• CompoSecure, Arculus FIDO2 akıllı kartını eşlik eden bir cüzdan uygulaması ve ihraççılar için bir geliştirici SDK'sı ile genişletir.

Şimdiye kadar, bu satıcıların çoğu gelirlerinin büyük kısmını hâlâ donanımdan elde etmektedir. Yazılım yığınını cihaz teslimatı ve IAM'den gerçek seremoni düzeyindeki geçiş anahtarı gözlemlenebilirliğine kadar genişleten satıcılar, uçtan uca benimsemeyi sağlama şansı elde eder. Bunu yapmayan satıcılar ise bir bileşen tedarikçisi olarak kurumsal alanın içinde kilitli kalırlar.

8.3 Peki ya İşletim Sistemi (OS) Platformları?#

İşletim sistemi platformları özel bir durumdur. Donanım mevcuttur - Apple Secure Enclave, Android StrongBox ve Windows 11'deki Pluton çipi sattıkları her cihazın içinde bulunur - ancak Apple ve Google'daki varsayılan geçiş anahtarı politikası senkronizasyon yapmaktır, bu nedenle tüketiciler hiçbir zaman kutudan çıkar çıkmaz gerçek bir donanıma bağlı kimlik bilgisi elde edemezler. iCloud Keychain ve Google Password Manager, anahtarı cihazlar arasında kopyalar, bu da kullanıcının gördüğü davranışı senkronize bir geçiş anahtarıyla aynı hale getirir. Microsoft'un TPM'ye bağlı Windows Hello'su, anahtarları hâlâ yerel tutan tek tüketici güvenli elemanıdır, ancak Edge de senkronizasyona doğru ilerliyor ve Windows Hello'yu donanıma bağlı tüketici yarışının dışında tutuyoruz çünkü ayrı bir donanım satın alınmasını gerektirmiyor.

Teorik olarak Apple, Google veya Microsoft, platforma bağlı, senkronize olmayan geçiş anahtarlarını, senkronize edilmiş olanlarla aynı parlak UX ile sunarak kategoriyi yeniden tanımlayabilir. Bunu planladıklarına dair kamuoyuna yansıyan hiçbir işaret yok. Senkronizasyon varsayılan olarak kaldığı sürece, işletim sistemi platformları donanıma bağlı geçiş anahtarlarında değil, senkronize geçiş anahtarlarında rakiptir ve özel güvenlik anahtarları ile FIDO2 akıllı kartları tek gerçek tüketici donanım yolu olmaya devam eder.

8.4 Gerçek Yarış Neye Benziyor?#

Gerçek yarış "güvenlik anahtarı akıllı karta karşı" değildir. Gerçek soru, önemli olan yerlerde donanımı, diğer her yerde yazılım, veri ve benimseme mühendisliği ile birleştiren tüketici kimlik doğrulama platformunu kimin kuracağıdır. FIDO Alliance Authenticate 2024 açılış konuşmasına göre, önümüzdeki üç ila beş yıl içindeki muhtemel kazananlar şunlardır:

• FIDO2 akıllı kartlarını varsayılan tüketici deneyimine dönüştüren üç ila beş büyük banka ve ödeme ağı.
• Sadece IAM ve filo yönetimi değil, gerçek seremoni düzeyinde analitik ile kimlik doğrulama platformlarına başarılı bir şekilde geçiş yapan bir veya iki donanım satıcısı.
• Kullanıcıların yüzde 5 ila 10'unun daha güçlü bir hesap koruması karşılığında donanım için gerçekten ödeme yapacağını kanıtlamaları halinde, Google'ın Gelişmiş Koruma'sı ve OpenAI'nin Gelişmiş Hesap Güvenliği gibi yüksek değerli hesap programları.

Saf kalan saf donanım şirketlerinin tüketici yarışını kazanması pek olası değildir. Sonunda başkasının platformunda bir silikon tedarikçisi olurlar. Bu sağlıklı bir iştir ve kurumsal alanda gerçek bir kaledir (moat), ancak tüketici hakimiyeti değildir.

9. Bankalar, İhraççılar ve Ürün Ekipleri Sırada Ne Yapmalı?#

FIDO Alliance dağıtım başucu kitabına ve Gartner kimlik kılavuzuna göre, önümüzdeki 12 ay içinde donanıma bağlı geçiş anahtarlarını değerlendiren herhangi bir ürün ekibi için üç eylem önemlidir. Donanımın gerçekten kazandığı kullanım senaryosunu (use case) seçin. Her donanım dağıtımını benimseme mühendisliği ile eşleştirin. Ve veri geri bildirim döngüsünü ilk günden itibaren oluşturun.

1. Doğru kullanım senaryosunu seçin: Yüksek değerli işlem onayı, düzenlemeye tabi yolculuklarda kademeli kimlik doğrulama (step-up authentication) ve yüksek riskli segmentler için hesap kurtarma. Donanımı genel tüketici oturum açma işlemine zorlamayın.
2. Donanımı benimseme mühendisliği ile eşleştirin: Enstrümantasyon, yerel uygulama (native app) hata yönetimi, cihaz-akıllı yönlendirme ve bir senkronize geçiş anahtarı taban çizgisine (baseline) karşı açık ölçüm.
3. Veri döngüsünü erkenden kurun: Yayından (rollout) sonra değil, ilk pilot uygulamayla birlikte huni telemetrisini başlatın. Hangi Android üreticisinin, hangi iOS sürümünün ve hangi tarayıcı kombinasyonunun dokunma (tap) başarısını öldürdüğünü gören ekipler haftalar içinde yineleme yapabilir (iterate). Bunu yapmayan ekipler ise anekdotlara indirgenir ve destek biletlerini beklemek zorunda kalırlar.

Donanım satıcıları için mesaj daha da nettir. Şirketin bir bileşen tedarikçisi olarak mı kalacağına yoksa bir platform mu kuracağına karar verin. Her ikisi de uygulanabilirdir. Tam olarak taahhütte bulunmadan her ikisini de yapmaya çalışmak, platform yatırımını yetersiz finanse edilmiş ve silikon yol haritasını dağılmış halde bırakır.

10. Sonuç#

Donanıma bağlı geçiş anahtarları hâlâ NIST AAL3 seviyesine ulaşan, bir bulut hesabı ihlalinden sağ çıkan ve PSD2, PSD3 ve benzeri düzenlemelerin en katı okumasını açıkça karşılayan tek tüketici kimlik bilgisi türüdür. Teknoloji sağlamdır. Silikon güçlüdür. Standartlar olgundur.

Teknolojinin kendi başına yapamayacağı şey ise tüketici benimsemesini kazanmaktır. Apple ve Google, işletim sistemi ve tarayıcı katmanını kontrol eder. Bankalar ve ihraççılar tüketici dağıtımını kontrol eder. Donanım satıcıları silikonu kontrol eder. Tüketici yarışını, benimsemeyi sağlayan, her seremoniyi ölçen ve boşlukların (gaps) etrafından yönlendiren bir yazılım platformu aracılığıyla bu üçünü birleştiren oyuncu kazanır.

Kazanan reçete; donanım artı geçiş anahtarı gözlemlenebilirliği artı sürekli benimseme mühendisliğidir. Her üçünü de sunan satıcı veya ihraççı, önümüzdeki on yıl için tüketici oyun kitabını yazacaktır. Geri kalan herkes ise sadece bir başkasının platformuna bileşen satacaktır.

Corbado Hakkında

Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Passkey Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün →

Sıkça Sorulan Sorular#

Tüketiciler için donanıma bağlı geçiş anahtarları ile senkronize geçiş anahtarları arasındaki fark nedir?#

Donanıma bağlı geçiş anahtarları özel anahtarı bir güvenlik anahtarı, FIDO2 akıllı kartı veya yerleşik bir TPM çipi gibi fiziksel bir güvenli elemanda tutar. Anahtar bu donanımdan asla ayrılmaz. Senkronize geçiş anahtarları ise iCloud Keychain, Google Password Manager veya üçüncü taraf bir yöneticide yaşar ve cihazlarınız arasında bulut üzerinden kopyalanır. Donanıma bağlı geçiş anahtarları, özel anahtar dışa aktarılamadığı için NIST AAL3'e ulaşır. Senkronize geçiş anahtarları ise bulut senkronizasyon yolu anahtarı kurtarılabilir (recoverable) hale getirdiği için AAL2'de kalır. Güvencedeki bu tek adımlık fark, bankacılık, kamu ve sağlık sektörlerindeki düzenleyiciler için çok şey ifade eder.

Neden donanım güvenlik anahtarları geçiş anahtarı benimsenmesine rağmen tüketiciler nezdinde ana akım haline gelmedi?#

StatCounter'a göre Apple ve Google, tüketicilerin yüzde 99'undan fazlası tarafından kullanılan işletim sistemi ve tarayıcıları kontrol etmektedir. Her ikisi de WebAuthn istemlerinde (prompts) kendi senkronize kimlik bilgisi yöneticilerine öncelik vermektedir. Apple AuthenticationServices ve Android Credential Manager belgelerine göre, donanım kimlik doğrulayıcıları her varsayılan akışta bir ila üç tık daha derinde yer alır. Android'de NFC davranışı telefon üreticileri arasında parçalanmıştır ve Conditional UI (Koşullu Kullanıcı Arayüzü) varsayılan olarak senkronize kimlik bilgilerini kullanır. Üstelik bir hizmet onları zorlamadıkça çoğu tüketici ayrı bir kimlik doğrulayıcı için 40 ila 80 ABD doları ödemeyecektir.

Tüketiciler için donanıma bağlı bir geçiş anahtarını haklı çıkaran kullanım durumları hangileridir?#

Üç kategori tüketicilere yeterli motivasyonu sağlar. Birincisi, Hindistan'daki RBI ve Avustralya'daki APRA CPS 234'ün yanı sıra PSD2, PSD3'ün de güçlü müşteri kimlik doğrulaması gerektirdiği bankacılık ve ödemelerdir. İkincisi, bir anahtarı kaybetmenin fonları kaybetmek anlamına geldiği ve Ledger ile Trezor'un şimdiden 9 milyondan fazla cihaz sevk ettiği kripto ve bireysel saklamadır (self-custody). Üçüncüsü, ele geçirilmesinin geri alınamaz olduğu birincil e-posta, devlet kimlik cüzdanları ve içerik üretici hesapları da dahil olmak üzere yüksek değerli hesaplardır. Google'ın Gelişmiş Koruma Programı (Advanced Protection Program) ve Nisan 2026'da ortak markalı YubiKey ikili paketiyle yaklaşık 68 ABD dolarına piyasaya sürülen ChatGPT için OpenAI'nin Gelişmiş Hesap Güvenliği, bu kohortu hedeflemektedir. Bu üç kategori dışında genellikle senkronize geçiş anahtarları kazanır.

FIDO2 akıllı kartları tüketici donanım geçiş anahtarı yarışına nasıl uyuyor?#

CompoSecure (10-K raporuna göre yılda 100 milyondan fazla metal ödeme kartı gönderiyor ve FIDO2 ürünü olarak Arculus'u sunuyor) ve IDEMIA gibi akıllı kart üreticileri, FIDO2 kimlik bilgilerini barındırabilen güvenli elemanlara sahip NFC akıllı kartlar üretiyor. Tüketiciler halihazırda bir kredi kartı taşıyor, bu nedenle o karta donanıma bağlı bir geçiş anahtarı eklemek ayrı bir cihaz ihtiyacını ortadan kaldırıyor. Bankalar, neobankalar ve kripto saklayıcıları (custodians) daha sonra kimlik doğrulama, ödeme ve kademeli (step-up) kimlik doğrulamayı tek bir form faktöründe birleştirebilirler. İşin zor kısmı, NFC dokunuşunu iOS ve Android tarayıcılarında güvenilir hale getirmek ve ihraççıları kart başına 2 ila 5 dolarlık maliyet primini karşılamaya ikna etmektir.

Tüketici donanımına bağlı geçiş anahtarı pazarını gerçekten kazanmak için ne gerekiyor?#

İyi bir donanım gereklidir, ancak yeterli değildir. Kazanan, güvenilir bir donanım form faktörünü, kayıt ve kimlik doğrulamanın her adımını ölçen, bozuk cihaz ve işletim sistemi kombinasyonlarının etrafından yönlendiren ve ihraççılara dolandırıcılık ile destek maliyetlerinin düştüğünü kanıtlayan bir istihbarat platformuyla eşleştirir. Huni düzeyinde geçiş anahtarı gözlemlenebilirliği olmadan, satıcılar ve bankalar kullanıcıların yüzde 60'ının NFC dokunuşunu terk ettiğini (FIDO Alliance Authenticate 2024 dağıtım konuşmalarında belgelenmiş bir model) veya W3C WebAuthn Level 3 spesifikasyonuna göre Conditional UI'ın istemi (prompt) sessizce yuttuğunu fark edemezler. Yarışı, hangi anahtarın en güçlü titanyum kabuğa sahip olduğu değil, veri ve yazılım belirleyecektir.