--- url: 'https://www.corbado.com/tr/blog/donanima-bagli-gecis-anahtarlari-tuketici-yarisi' title: 'Donanıma Bağlı Geçiş Anahtarları: Asıl Yarış Benimseme' description: 'Tüketicilerin donanıma bağlı geçiş anahtarı yarışını kim kazanacak? Güvenlik anahtarlarını, FIDO2 akıllı kartları ve kripto cüzdanları karşılaştırın ve benimsemenin neden tek başına donanımdan üstün olduğunu öğrenin.' lang: 'tr' author: 'Vincent Delitz' date: '2026-05-19T12:05:42.279Z' lastModified: '2026-05-19T12:28:40.721Z' keywords: 'donanıma bağlı geçiş anahtarları, donanım anahtarı vs geçiş anahtarı, en iyi donanım geçiş anahtarları, yubikey tüketici geçiş anahtarları, arculus akıllı kart geçiş anahtarları, fido2 akıllı kart bankacılık, senkronize vs cihaza bağlı geçiş anahtarları' category: 'Passkeys Strategy' --- # Donanıma Bağlı Geçiş Anahtarları: Asıl Yarış Benimseme ## Key Facts - Donanıma bağlı geçiş anahtarları NIST AAL3 seviyesine ulaşır. Senkronize geçiş anahtarları AAL2'de kalır çünkü bulut senkronizasyonu anahtarları dışa aktarılabilir hale getirir. - StatCounter'a göre iOS ve Android, mobil pazarın yüzde 99'undan fazlasını elinde tutuyor. Her ikisi de donanım kimlik doğrulayıcılarını senkronize kimlik bilgilerinin 1 ila 3 tık altına gizler. - Yubico, 2008'den bu yana 30 milyondan fazla YubiKey sevk etti. CompoSecure yılda 100 milyondan fazla metal kart sevk ediyor. IDEMIA yılda 3 milyardan fazla güvenli eleman üretiyor. - FIDO Alliance Authentication Barometer 2024'e göre, tüketici bankacılığında donanıma bağlı geçiş anahtarı aktivasyonu, lansmandan aylar sonra bile yüzde 5'in altında kalıyor. - Ledger 7 milyondan fazla cüzdan sevk etti. Trezor ise 2 milyondan fazla. Kripto bireysel saklama (self-custody), kullanıcıların kendi başlarına donanım satın aldığı tek tüketici kategorisidir. - Yarışı en güçlü donanım kazanmayacak. Donanımı, benimseme mühendisliği ve geçiş anahtarı gözlemlenebilirliği (observability) ile birleştiren oyuncu kazanacak. ## 1. Giriş: Tüketici Yarışını kim kazanacak? Donanıma bağlı geçiş anahtarları (hardware-bound passkeys) oturum açmanın en güvenli yoludur, ancak tüketici uygulamalarında neredeyse hiç kimse bunları kullanmıyor. [Güvenlik anahtarı](https://www.corbado.com/glossary/security-key) üreticileri ve [akıllı kart](https://www.corbado.com/glossary/smart-card) üreticileri bu form faktörünü yıllardır öne çıkarıyor. Buna rağmen, [FIDO Alliance Authentication Barometer 2024](https://fidoalliance.org/content/research/), tüketici [bankacılığında](https://www.corbado.com/passkeys-for-banking) donanıma bağlı geçiş anahtarı aktivasyonunun 2025'te hâlâ yüzde 5'in altında olduğunu gösteriyor. Bunun nedeni basittir. [StatCounter](https://gs.statcounter.com/os-market-share/mobile/worldwide)'a göre Apple ve Google mobil pazar payının yüzde 99'undan fazlasını kontrol ediyor ve kullanıcının ilk olarak hangi geçiş anahtarı türünü göreceğine onlar karar veriyor. Dolayısıyla tüketici yarışını en güçlü anahtara sahip şirket kazanmayacak. Donanımı yazılım, veri ve dağıtımla birleştiren şirket kazanacak. ### 1.1 Terminoloji: Donanıma Bağlı ve Senkronize Geçiş Anahtarları Donanıma bağlı geçiş anahtarları, özel anahtarı fiziksel bir güvenli elemanın içinde kilitli kalan [FIDO2](https://www.corbado.com/glossary/fido2) kimlik bilgileridir. Anahtar asla cihazdan ayrılmaz. [Senkronize geçiş anahtarları](https://www.corbado.com/blog/device-bound-synced-passkeys) ise aynı [FIDO2](https://www.corbado.com/glossary/fido2) kriptografisini kullanır ancak anahtarı [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain), [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager) veya üçüncü taraf bir yönetici aracılığıyla bulut üzerinden cihazlarınız arasında kopyalar. [W3C WebAuthn Level 3 spesifikasyonu](https://www.w3.org/TR/webauthn-3/) her ikisini de farklı bir depolama politikasına sahip aynı kimlik bilgisi türü olarak ele alır. Sektör ayrıca donanıma bağlı geçiş anahtarlarını "[cihaza bağlı geçiş anahtarları](https://www.corbado.com/blog/fbi-operation-winter-shield-passkeys)" veya "donanıma bağlı WebAuthn kimlik bilgileri" olarak da adlandırır. Bu makalede her üçü de eşanlamlı olarak kullanılmıştır. Yaygın bir yanılgı, telefon veya dizüstü bilgisayardaki güvenli bir eleman tarafından desteklenen her geçiş anahtarının donanıma bağlı olduğudur. Uygulamada, [Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web) ve [Android StrongBox](https://source.android.com/docs/security/features/keystore), varsayılan olarak [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) veya [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager) aracılığıyla senkronize edilen geçiş anahtarlarını barındırır; bu nedenle özel anahtar buluttan kurtarılabilir (recoverable). Bugün tüketici pazarında anahtarı kesinlikle yerel tutan tek güvenli eleman [Windows Hello](https://www.corbado.com/glossary/windows-hello) TPM'dir ve Microsoft bile Edge içinde senkronizasyona doğru ilerlemektedir. [Windows Hello](https://www.corbado.com/glossary/windows-hello) ekstra donanım satın alımı gerektirmediğinden ve dizüstü bilgisayara yerleşik olduğundan, bu makale onu donanıma bağlı tüketici yarışı dışında tutmakta ve özel güvenlik anahtarlarına, FIDO2 akıllı kartlarına ve kripto cüzdanlarına odaklanmaktadır. Bu tek fark - anahtarın donanımdan ayrılıp ayrılamayacağı - [NIST](https://www.corbado.com/blog/nist-passkeys) güvence seviyesinden kurtarma akışına kadar neredeyse tüm alt özellikleri belirler. [NIST SP 800-63B](https://www.corbado.com/faq/nist-sp-800-63b-supplement-passkey-adoption) donanıma bağlı geçiş anahtarlarını en yüksek seviye olan [AAL3](https://www.corbado.com/blog/nist-passkeys)'e yerleştirirken, senkronize geçiş anahtarları [AAL2](https://www.corbado.com/blog/nist-passkeys) ile sınırlıdır. Bu tek adımlık fark, [PSD2](https://www.corbado.com/blog/psd2-passkeys), [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys), [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity), Hindistan'daki RBI 2024 ve APRA CPS 234 dahil olmak üzere, sahiplik faktörü (possession factor) zorunluluğu arayan düzenleyiciler için önemlidir. ### 1.2 Senkronize Geçiş Anahtarları Neden Varsayılan Konumu Kazandı Senkronize geçiş anahtarları varsayılan konumu aldı çünkü Apple ve Google bunları önce piyasaya sürdü ve istemleri (prompts) onlar kontrol ediyor. [Apple'ın geliştirici sürüm notlarına](https://developer.apple.com/passkeys/) göre Apple, 2021'de [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) geçiş anahtarı desteğini ekledi, Google [Password Manager](https://www.corbado.com/blog/passkeys-vs-password-managers) onu 2022'de takip etti ve her ikisi de senkronize kimlik bilgilerini doğrudan otomatik doldurma çubuğunda göstermek için WebAuthn [Conditional UI](https://www.corbado.com/glossary/conditional-ui) kullandı. Bir donanım [kimlik doğrulayıcısı (authenticator)](https://www.corbado.com/glossary/authenticator), her varsayılan akışta bir ila üç tık daha derinde yer alır. [FIDO Alliance Online Authentication Barometer 2024](https://fidoalliance.org/content/research/), küresel çapta tüketicilerin yüzde 64'ünün geçiş anahtarlarını fark ettiğini ve yüzde 53'ünün en az bir hesapta geçiş anahtarlarını etkinleştirdiğini bildiriyor. Bu kayıtların neredeyse tamamı senkronize anahtarlardır. ### 1.3 Tüketici Yarışı Gerçekte Nerede Yaşanıyor Bu makalede "tüketici" CIAM (Müşteri Kimlik ve Erişim Yönetimi) anlamına gelmektedir. Bir bankaya, bir kripto borsasına, bir [devlet](https://www.corbado.com/passkeys-for-public-sector) [cüzdanına](https://www.corbado.com/blog/digital-wallet-assurance) veya bir içerik üretici platformuna giriş yapan dış müşterilerden bahsediyoruz. Donanıma bağlı geçiş anahtarlarının halihazırda hakim olduğu iş gücü girişinden bahsetmiyoruz. Asıl ilginç olan soru, bundan sonra hangi tüketici yolculuklarının açılacağı ve buraya ilk kimin ulaşacağıdır. Yarış, tüketicilerin fiilen edinmesi gereken iki form faktörünü ve üç dağıtım yolunu kapsıyor. - **Form faktörleri**: USB veya [NFC güvenlik anahtarları](https://www.corbado.com/blog/best-fido2-hardware-security-keys) ile [ödeme](https://www.corbado.com/passkeys-for-payment) kartlarına yerleşik FIDO2 [akıllı kartlar](https://www.corbado.com/blog/best-fido2-smartcards). Kripto donanım [cüzdanları](https://www.corbado.com/blog/digital-wallet-assurance) ise üçüncü bir niş kategori olarak bu ikisinin yanında yer alır. - **Dağıtım yolları**: Tüketicilere doğrudan satışlar, bankalar veya [devletler](https://www.corbado.com/passkeys-for-public-sector) tarafından kullanıcılarına gönderilen cihazlar ve bireysel saklama yapan kullanıcılar tarafından satın alınan kripto cüzdanları. ### 1.4 Bu Makalenin Tezi İyi donanım gereklidir, ancak artık yeterli değildir. En güçlü çipe sahip satıcı tüketici benimsemesini otomatik olarak kazanmayacaktır. Gerçek darboğazlar silikonun üstünde yer alıyor: Tarayıcı istemleri, farklı [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) telefonlardaki NFC yığınları, cihaz kaybından sonra kurtarma tasarımı ve tüketici dağıtımı. Kazanan, donanımı benimseme mühendisliği ve [geçiş anahtarı gözlemlenebilirliği](https://www.corbado.com/blog/authentication-observability) ile birleştiren şirket olacaktır. Bu makalenin geri kalanı tarihi, oyuncuları, engelleri, gerçek dünyadaki kullanım senaryolarını ve kurumsal (enterprise) pazardan çıkıp tüketici (consumer) pazarına girmek isteyen her şirket için pratik bir başucu kitabını ele alıyor. ## 2. Donanım Kimlik Doğrulayıcıları Buraya Nasıl Geldi? Donanıma bağlı kimlik bilgileri yeni bir şey değil. FIDO'dan yaklaşık 30 yıl daha eskiler. PKI akıllı kartları 1990'larda [NIST FIPS 201 PIV standardı](https://csrc.nist.gov/publications/detail/fips/201/3/final) ile standartlaştırılarak [devlet](https://www.corbado.com/passkeys-for-public-sector) kurumlarına geldi. RSA SecurID token'ları kurumsal VPN'lerde onu izledi. EMV çipli ve PIN'li kartlar 2002'de [ödemelere](https://www.corbado.com/passkeys-for-payment) ulaştı. [EMVCo](https://www.emvco.com/about/) bugün dolaşımda 12 milyardan fazla EMV kartı olduğunu bildiriyor; bu da [ödeme](https://www.corbado.com/passkeys-for-payment) kartlarındaki çipi tarihteki en büyük dağıtık donanım kriptografi platformu yapıyor. IDEMIA, Thales ve Infineon tarafından yılda 3 milyardan fazla çip üretilen aynı güvenli eleman tedarik zinciri, şimdi FIDO2 akıllı kartlarının içindeki silikonu üretiyor. Donanım [kimlik doğrulayıcılarını](https://www.corbado.com/glossary/authenticator) FIDO2'ye taşıyan üç büyük sektörel değişim, 2014 ile 2018 yılları arasında sadece dört yıl içinde gerçekleşti. ### 2.1 U2F'den FIDO2'ye (2014'ten 2018'e) [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance), 2014 yılında çeşitli [güvenlik anahtarı](https://www.corbado.com/glossary/security-key) satıcıları tarafından gönderilen ilk donanım token'ları ile FIDO U2F'i başlattı. [Krebs on Security](https://krebsonsecurity.com/2018/07/google-security-keys-neutralized-employee-phishing/)'ye göre Google, U2F anahtarlarını 2017 yılına kadar 89.000'den fazla çalışanına dağıttı ve ertesi yıl [oltalama (phishing)](https://www.corbado.com/glossary/phishing) kaynaklı sıfır hesap ele geçirme vakası bildirdi. Ancak U2F sadece ikinci bir faktördü. Kullanıcıların hâlâ bir parolası vardı ve donanıma dokunmak yalnızca fazladan bir adımdı. Form faktörü kurumsal kaldı: Google personeli, [devlet](https://www.corbado.com/passkeys-for-public-sector) kurumları ve bir avuç kripto borsası için küçük bir USB anahtarı. [FIDO2](https://www.corbado.com/glossary/fido2) ve [WebAuthn](https://www.w3.org/TR/webauthn-3/), 2018'de U2F'i tam bir parolasız çerçeveye dönüştürerek bunu değiştirdi. Eskiden ikinci bir faktörü destekleyen aynı güvenli eleman, artık birincil oturum açma kimlik bilgisini destekleyebiliyordu. ### 2.2 Geçiş Anahtarı (Passkey) Marka Değişimi (2022) Mayıs 2022'de Apple, Google, Microsoft ve [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance), [FIDO Alliance Authenticate konferansında](https://fidoalliance.org/expanded-support-for-fido-authentication-in-ios-and-macos/) ortaklaşa "geçiş anahtarı (passkey)" markasını piyasaya sürdü. Fikir, tüketicilerin hem senkronize hem de cihaza bağlı FIDO2 kimlik bilgileri için anlayabileceği tek ve basit bir kelime kullanmaktı. [Apple'ın geliştirici sürüm notlarına](https://developer.apple.com/passkeys/) göre Apple, [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) geçiş anahtarı senkronizasyonunu Eylül 2022'de [iOS](https://www.corbado.com/blog/webauthn-errors) 16'da kullanıma sundu. [Kimlik (Identity) bloguna](https://blog.google/technology/safety-security/passkeys-google-account/) göre Google bunu Ekim 2022'de [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) 9 ve üzerinde takip etti. [Microsoft](https://www.microsoft.com/) bu üçlü arasında en geride kalandı. [Windows Hello belgelerine](https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/) göre [Windows Hello](https://www.corbado.com/glossary/windows-hello), 2015'ten bu yana TPM'e ve cihaza bağlı kimlik bilgileri sunuyordu, ancak tüketici hesapları yıllarca [geçiş anahtarlarını cihazlar arasında senkronize edemedi](https://www.corbado.com/blog/passkeys-sharing). Microsoft, tüketici Microsoft hesapları için geçiş anahtarı desteğini ancak Mayıs 2024'te ekledi ve [Microsoft Edge Password Manager](https://learn.microsoft.com/en-us/deployedge/microsoft-edge-passkeys) içindeki senkronize geçiş anahtarları daha da geç, 2025'te geldi. Dolayısıyla, Apple ve Google senkronize tüketici geçiş anahtarları konusunda iki ila üç yıllık bir başlangıç avantajına sahipken, Microsoft kendi tarayıcısında cihazlar arası senkronizasyonu hâlâ yakalamaya çalışıyor. Donanım satıcıları, dört büyük oyuncunun yaptığı bu büyük marka değişiminin güvenlik anahtarlarına ve akıllı kartlara olan talebi artırmasını bekliyordu. Ancak öyle olmadı. [FIDO Alliance Barometresine](https://fidoalliance.org/content/research/) göre, senkronize geçiş anahtarları yeni tüketici kayıtlarının neredeyse tamamını içine çekti. ### 2.3 2 Yola Ayrılma 18 ay içinde ekosistem iki farklı yola ayrıldı. Tüketici yolunda, Apple ve Google'ın kendi yöneticileri (managers) etrafında varsayılan akışı oluşturduğu senkronize geçiş anahtarları hakimdi. Kurumsal yolda ise, BT departmanlarının iş gücü kimliği için güvenlik anahtarları veya [FIDO2 akıllı kartları](https://www.corbado.com/blog/best-fido2-smartcards) satın aldığı donanıma bağlı geçiş anahtarları hakimdi. [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance), bu kurumsal pazarın yıllık donanım [kimlik doğrulayıcı](https://www.corbado.com/glossary/authenticator) harcamasını 1 milyar ABD dolarının üzerinde değerlendiriyor. Donanım satıcıları tüketiciden asla vazgeçmedi. Asıl soru, hâlâ inandırıcı bir yolları olup olmadığı ya da işletim sistemi (OS) katmanının onları tamamen dışarıda bırakıp bırakmadığıdır. ## 3. Tüketici Yarışında Kimler Rekabet Ediyor? Alan için iki form faktörü yarışıyor. Güvenlik anahtarları, meraklılara ve kurumlara doğrudan satışta lider. Akıllı kartlar bankalar aracılığıyla en büyük dağıtım kanalına sahip: [EMVCo istatistiklerine](https://www.emvco.com/about/) göre her yıl 1,5 milyardan fazla EMV kartı çıkarılıyor. Rekabet eden satıcılar iki kampa ayrılıyor. [Güvenlik anahtarı](https://www.corbado.com/glossary/security-key) üreticileri doğrudan son kullanıcılara ve işletmelere USB veya NFC anahtarları satıyor. [Akıllı kart](https://www.corbado.com/glossary/smart-card) ve güvenli eleman üreticileri ise bankaların ihraç ettiği çipleri ve kartları üretiyor. Her bir kamp farklı bir birim maliyet sorunuyla karşı karşıya ve hiçbiri tüketici dağıtım açığını tek başına çözemedi. ### 3.1 Güvenlik Anahtarı Form Faktörüne Kim Liderlik Ediyor? Bu segmentte çeşitli güvenlik anahtarı üreticileri rekabet ediyor. Modern güvenlik anahtarları tipik olarak USB-A, USB-C, NFC ve Lightning üzerinden FIDO2, FIDO U2F, akıllı kart PIV, OpenPGP ve OTP'yi destekler; bazıları ek olarak cihaz üzerinde bir parmak izi sensörü de sunar. Aşağıdaki tablo, tüketici ve kurumsal pazardaki en önemli satıcılara genel bir bakış sunmaktadır. | **Satıcı** | **Merkez** | **Önemli Ürünler** | **Bağlantılar** | **Önemli Açı** | | ----------------------------------------------------- | ------------ | ------------------------------------ | ---------------------------- | -------------------------------------------------------------- | | [Yubico](https://www.yubico.com/) | İsveç / ABD | YubiKey 5, YubiKey Bio, Security Key | USB-A, USB-C, NFC, Lightning | En büyük doğrudan tüketiciye yönelik marka, geniş protokol desteği | | [Feitian](https://www.ftsafe.com/) | Çin | ePass, BioPass, MultiPass | USB-A, USB-C, NFC, BLE | Küresel birim hacmine göre en büyük rakip, Google Titan için OEM | | [Token2](https://www.token2.com/) | İsviçre | T2F2, Bio3 | USB-A, USB-C, NFC | Uygun fiyatlı, PIN+ ve biyometrik varyantlar | | [Google](https://cloud.google.com/titan-security-key) | ABD | Titan Security Key | USB-C, NFC | Gelişmiş Koruma'nın temeli, Feitian tarafından üretiliyor | | [OneSpan](https://www.onespan.com/) | ABD | DIGIPASS FX1 BIO | USB-A, USB-C, NFC, BLE | Bankacılık odaklı, isteğe bağlı parmak izi sensörü | | [Identiv](https://www.identiv.com/) | ABD | uTrust FIDO2 | USB-A, USB-C, NFC | Kurumsal ve devlet akıllı kart mirası | | [Kensington](https://www.kensington.com/) | ABD | VeriMark Guard | USB-A, USB-C | Biyometrik parmak izi okuyucuları, genel perakende dağıtımı | Üreticilerin fiyatlandırma sayfalarına göre tek bir cihazın maliyeti 40 ila 80 ABD dolarıdır; bu da kurumsal bir ortamda yönetilebilir bir durumken, tüketici ölçeğinde benimsenmeyi öldürmektedir. Bu fiyat etiketiyle birlikte gelen NFC, kurtarma ve dağıtım sorunları bölüm 4'te ayrıntılı olarak ele alınmaktadır. ### 3.2 Akıllı Kart Form Faktörüne Kim Liderlik Ediyor? [Akıllı kart](https://www.corbado.com/glossary/smart-card) üreticileri, banka tarafından ihraç edilen FIDO2 segmentinde rekabet ediyor. Satıcı ortamı kart üreticileri ve çip tedarikçileri olarak ikiye ayrılıyor. ([Arculus](https://www.arculus.co/) FIDO2 ürününü piyasaya süren) [CompoSecure](https://www.compositionusa.com/), [IDEMIA](https://www.idemia.com/), NagraID, [Feitian](https://www.ftsafe.com/) ve TrustSEC gibi kart üreticileri FIDO2 kartlarının kendilerini üretir. Çip tedarikçileri, yani üç dev güvenli eleman üreticisi [IDEMIA](https://www.idemia.com/), [Thales](https://www.thalesgroup.com/) ve [Infineon](https://www.infineon.com/), çoğu kartın içindeki güvenli elemanları üretir. [IDEX Biometrics](https://www.idexbiometrics.com/), bir akıllı kartı [biyometrik akıllı karta](https://www.corbado.com/blog/best-fido2-smartcards) dönüştüren kart üzeri parmak izi sensörünü tedarik eder. Kart [ihraççılarına](https://www.corbado.com/glossary/issuer) yönelik dağıtım, mevcut [ödeme](https://www.corbado.com/passkeys-for-payment) kartı tedarik zinciri aracılığıyla zaten çözülmüş durumdadır. Buradaki asıl zorluk, [ihraççıları](https://www.corbado.com/glossary/issuer) birim maliyet primini üstlenmeye ikna etmek ve NFC dokunuşunun cihazlar arasında güvenilir bir şekilde çalışmasını sağlamaktır. Bir FIDO2 akıllı kartı, metal veya biyometrik bir kart gövdesinin 5 ila 15 ABD doları tutarındaki taban maliyetine 2 ila 5 ABD doları daha ekler. [Juniper Research 2024](https://www.juniperresearch.com/)'e göre, dünya çapında sevk edilen biyometrik ödeme kartları 2027 yılına kadar 140 milyon adedi aşacaktır. ### 3.3 Peki Ya Hibrit ve Yan Kullanımlar? Diğer birkaç ürün, her iki form faktörüne de tam olarak uymadan aynı kullanım durumu için rekabet eder. [Ledger](https://www.ledger.com/) 7 milyondan fazla Nano [cüzdan (wallet)](https://www.corbado.com/blog/digital-wallet-assurance) sevk etmiştir; [Trezor](https://trezor.io/) ise 2 milyondan fazla. Her ikisi de kripto depolamanın üzerinde ikincil bir özellik olarak FIDO2 sunar. [Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web) ve [Android StrongBox](https://source.android.com/docs/security/features/keystore) gibi telefondaki güvenli elemanlar, teknik olarak özel anahtarı donanımla korur. Ancak Apple ve Google geçiş anahtarlarını varsayılan olarak [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) ve Google Password Manager üzerinden senkronize ettiğinden, kullanıcının gördüğü davranış donanıma bağlı bir geçiş anahtarı değil, [senkronize bir geçiş anahtarıdır](https://www.corbado.com/blog/device-bound-synced-passkeys). Halka açık açıklamalara göre, [Token Ring](https://www.tokenring.com/) ve Mojo Vision yüzükleri gibi giyilebilir [kimlik doğrulayıcıların (authenticators)](https://www.corbado.com/glossary/authenticator) sevkiyatı 100.000 birimin altında kalmıştır. Başka bir deyişle, tüketici yarışı aslında güvenlik anahtarları ile akıllı kartlar arasında geçen iki yönlü bir rekabettir; kripto [cüzdanları](https://www.corbado.com/blog/digital-wallet-assurance) üçüncü bir dikey alan, giyilebilir cihazlar ise yüzde 1'in altında bir dipnottur. ## 4. Tüketici Benimsemesini Ne Engelliyor? Tüketici pazarlarında donanıma bağlı [geçiş anahtarı benimsenmesini](https://www.corbado.com/blog/passkey-adoption-business-case) dört yapısal karşı rüzgar engelliyor: İşletim sistemi (OS) ve tarayıcı istem (prompt) hiyerarşisi, [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) üzerinde NFC parçalanması, cihaz kaybı sonrası zorlu kurtarma süreci ve doğrudan tüketiciye maliyet. Bunların hiçbiri bir donanım satıcısı tarafından tek başına düzeltilemez. ### 4.1 İşletim Sistemi ve Tarayıcı Hiyerarşisi Apple'ın [AuthenticationServices](https://developer.apple.com/documentation/authenticationservices)'i varsayılan olarak iCloud Keychain'i kullanır. Bir [güvenen taraf (relying party)](https://www.corbado.com/glossary/relying-party) `authenticatorAttachment` değerini `cross-platform` olarak ayarlasa bile, kullanıcının önce platform ekranını kapatması gerekir. Google'ın [Credential Manager](https://developer.android.com/identity/sign-in/credential-manager)'ı Android'de [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager) ile aynısını yapar. StatCounter'a göre [Safari ve Chrome birlikte mobil tarayıcı payının yaklaşık yüzde 84'ünü elinde tutuyor](https://gs.statcounter.com/browser-market-share/mobile/worldwide), bu nedenle tüm tüketici webi için istem (prompt) kullanıcı deneyimini (UX) fiilen iki satıcı belirliyor. [StatCounter](https://gs.statcounter.com/os-market-share/mobile/worldwide) üzerindeki küresel mobil pazar payı ile karşılaştırılan toplam güvenlik anahtarı sevkiyat verilerine dayanarak, tüketicilerin yüzde 99'undan fazlasının özel bir güvenlik anahtarına sahip olmaması nedeniyle, tarayıcılar donanım anahtarı kullanıcı deneyimine (UX) yeterince yatırım yapmıyor. Bu bir kısır döngü yaratır. Kötü UX düşük benimsenmeye yol açar. Düşük benimsenme yatırım yapılmaması demektir. Yatırım olmaması ise kötü UX'e yol açar. ### 4.2 Android'de NFC Parçalanması Android'de NFC davranışı üreticiler arasında büyük farklılıklar gösterir. [Samsung](https://www.corbado.com/blog/samsung-passkeys), [Xiaomi](https://www.mi.com/global/), [Oppo](https://www.oppo.com/) ve [Google Pixel](https://store.google.com/category/phones), [Android Open Source](https://source.android.com/) üzerinde farklı NFC yığınları (stacks) sunar. [Android Issue Tracker](https://issuetracker.google.com/)'a göre, bazı Android 14 sürümleri 2024'te birkaç ay boyunca üçüncü taraf [geçiş anahtarı sağlayıcısı (passkey provider)](https://www.corbado.com/blog/passkey-providers) desteğini bile bozmuştur. Pixel 8'de sorunsuz okunan bir FIDO2 akıllı kartı, Galaxy S23 Ultra'da başarısız olabilir ve Xiaomi 14'te yine farklı davranabilir. [Google Android Compatibility Program](https://source.android.com/docs/compatibility/overview)'dan gelen hiçbir merkezi test programı, tüketicilere ulaşmadan önce bu gerilemeleri yakalayamaz. ### 4.3 Kurtarma ve Kayıp Senkronize geçiş anahtarları, kullanıcı yeni bir cihazda oturum açtığında otomatik olarak kurtarılır. Donanım kimlik bilgileri ise bunu yapamaz. Güvenlik anahtarını kaybeden veya akıllı kartını kıran bir kullanıcının hesap kurtarma işleminden veya genellikle daha az güvenli olan yöntemlerden geçmesi gerekir. [Verizon 2024 Data Breach Investigations Report](https://www.verizon.com/business/resources/reports/dbir/), ihlallerin yüzde 68'inin, kimlik bilgisi kurtarmanın kötüye kullanımı da dahil olmak üzere kötü niyetli olmayan bir insan faktörü içerdiğini bulmuştur. [NIST SP 800-63B](https://www.corbado.com/faq/nist-sp-800-63b-supplement-passkey-adoption) de hesap kurtarmanın kimlik doğrulama ihlaline giden yaygın bir yol olduğu konusunda açıkça uyarır. Dolayısıyla, donanıma bağlama ancak kurtarma kanalı kadar güçlüdür; bu da [güvenen tarafın (relying party)](https://www.corbado.com/glossary/relying-party) silikon satıcısı kadar güvenlik yükü taşıdığı anlamına gelir. ### 4.4 Dağıtım ve Maliyet Üretici fiyatlandırma sayfalarına göre tüketici sınıfı bir güvenlik anahtarı perakende olarak 40 ila 80 ABD doları arasında [satılmaktadır](https://www.corbado.com/passkeys-for-e-commerce). Hesabının risk altında olduğunu düşünmeyen bir tüketici basitçe bu parayı ödemeyecektir. Maliyeti üstlenen bankalar ve kripto borsaları cihazları ücretsiz verebilir, ancak bu durumda destek yükünü de onlar üstlenir. Bir kredi kartıyla birlikte sunulan akıllı kartlar, kart başına 5 ila 15 ABD doları olan temel maliyetin üzerine 2 ila 5 ABD doları ekler (Bkz. [CompoSecure yatırımcı materyalleri](https://ir.compositionusa.com/) dahil olmak üzere halka açık akıllı kart satıcısı açıklamaları). Bu dört engel, FIDO Alliance Barometresi'ne göre donanım bir seçenek olarak sunulduğunda bile, senkronize geçiş anahtarlarının [finansal hizmetlerdeki](https://www.corbado.com/passkeys-for-banking) tüketici kayıtlarının neden yüzde 95'inden fazlasını oluşturduğunu açıklıyor. ## 5. Donanıma Bağlı Geçiş Anahtarları Gerçekte Nerede Kazanıyor? Üç tüketici kategorisi, insanlara özel donanım taşımaları için gerçek bir neden sunar: [Bankacılık](https://www.corbado.com/passkeys-for-banking) ve [ödemeler](https://www.corbado.com/passkeys-for-payment), bireysel kripto saklama ve yüksek değerli hesaplar. Bunların her biri güçlü bir itici gücü, inandırıcı bir dağıtım yolunu ve sürtünmeyi haklı çıkaracak kadar ciddi sonuçları bir araya getirir. Bu üç segmentin dışında, genellikle kolaylık açısından senkronize geçiş anahtarları kazanır. ### 5.1 Bankacılık ve Ödemeler Bankalar en doğal dağıtım kanalıdır. Zaten müşterilere fiziksel kartlar gönderiyorlar. Ayrıca [PSD2](https://www.corbado.com/blog/psd2-passkeys), [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys), [EBA Opinion on SCA](https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money), RBI [2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security), [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity) ve APRA CPS 234 kuralları altında faaliyet gösteriyorlar. Bu kuralların birçoğu, senkronize geçiş anahtarlarının açıkça karşılamadığı, kriptografik bir sahiplik faktörü gerektirmektedir. "Kredi kartı olarak akıllı kart" tezi işe yarar çünkü kart zaten mevcuttur. [CompoSecure 10-K](https://ir.compositionusa.com/sec-filings) raporuna göre, metal kart basan bir banka kart başına 5 ila 15 ABD doları ödüyor. [Juniper Research](https://www.juniperresearch.com/)'ün biyometrik kart maliyet analizine göre FIDO2 eklemek bunu 7 ila 20 ABD dolarına çıkarıyor. Bu tek kart daha sonra çip-ve-PIN, temassız NFC ödeme, ATM para çekme, çevrimiçi [bankacılık](https://www.corbado.com/passkeys-for-banking) girişi ve yüksek değerli [3DS işlem onayını](https://www.corbado.com/blog/3ds-webauthn) gerçekleştirir. Tüketiciye asla "donanım [kimlik doğrulayıcı](https://www.corbado.com/glossary/authenticator) ister misiniz?" diye sorulmaz. Kart basitçe postayla gelir. ### 5.2 Kripto ve Bireysel Saklama Kripto kullanıcıları zaten donanım taşıma fikrini kabul ediyor. [Ledger](https://www.ledger.com/) 7 milyondan fazla Nano cihaz sevk etti ve [kurumsal sayfasına](https://www.ledger.com/about) göre 4 milyar ABD dolarının üzerinde kümülatif donanım geliri bildirdi. [Trezor](https://trezor.io/) ise 2 milyondan fazla ünite sevk etti. Güvenlik anahtarları, kripto borsa MFA'sında (Çok Faktörlü Kimlik Doğrulama) da köklü bir konuma sahiptir; [Coinbase](https://www.corbado.com/blog/coinbase-passkey), [Kraken](https://www.kraken.com/security) ve [Binance](https://www.corbado.com/blog/binance-passkeys) FIDO2 anahtarlarını desteklemektedir. Bir donanım [cüzdanına](https://www.corbado.com/blog/digital-wallet-assurance) FIDO2 eklemek artımlı bir mühendislik çalışmasıdır. 50.000 dolarlık bir portföyü koruyan 100 dolarlık bir cihaz, taşımaya kesinlikle değer. Kripto, kullanıcıların kendi inisiyatifleriyle donanım satın aldıkları tek tüketici kategorisi olmaya devam etmektedir. ### 5.3 Yüksek Değerli Tüketici Hesapları Daha küçük bir tüketici grubu, ele geçirilmesi geri döndürülemez olan hesapları korur. Tipik örnekler arasında birincil e-posta, devlet kimlik [cüzdanları](https://www.corbado.com/blog/digital-wallet-assurance), [YouTube](https://www.youtube.com/) veya [Twitch](https://www.twitch.tv/)'teki içerik üretici hesapları ve gazetecilik kimlik bilgileri bulunur. Google'ın [Gelişmiş Koruma Programı (Advanced Protection Program)](https://landing.google.com/advancedprotection/), bu kohortu "gazeteciler, insan hakları çalışanları ve siyasi kampanya personeli gibi yüksek riskli kullanıcılar" olarak tanımlar. OpenAI, Nisan 2026'da ChatGPT için [Advanced Account Security](https://openai.com/index/advanced-account-security/) (Gelişmiş Hesap Güvenliği) programı ile aynı oyun kitabını izledi ve [Yubico](https://www.yubico.com/openai-and-yubico/) ile yaklaşık 68 ABD dolarına ortak markalı bir [YubiKey](https://www.corbado.com/glossary/yubikey) C NFC ve [YubiKey](https://www.corbado.com/glossary/yubikey) C Nano ikili paketi sundu. Program parola, e-posta veya SMS ile oturum açmayı tamamen devre dışı bırakır ve geçiş anahtarları veya fiziksel güvenlik anahtarları gerektirir; gazetecileri, seçilmiş yetkilileri, muhalifleri ve diğer yüksek riskli ChatGPT kullanıcılarını hedefler. Kaç kullanıcının bu ekstra katman için 68 dolar ödeyeceğini söylemek için henüz çok erken, ancak yüksek değerli tüketici hesaplarının kripto ve bankacılık dışında gönüllü donanım benimsemesini sağlayıp sağlayamayacağının şimdiye kadarki en net testidir. Cisco'nun [2024 Siber Güvenlik Hazırlık Endeksi (Cybersecurity Readiness Index)](https://newsroom.cisco.com/c/r/newsroom/en/us/a/y2024/m03/cybersecurity-readiness-index-shows-only-3-percent-of-organizations-globally-have-the-mature-level-of-readiness-needed-to-be-resilient-against-modern-cybersecurity-risks.html) de kuruluşların sadece yüzde 3'ünün olgun bir güvenlik duruşuna sahip olduğunu bulmuştur. [GAO 2024 siber güvenlik raporu](https://www.gao.gov/cybersecurity), hesapların ele geçirilmesini federal siber güvenlik risklerinin ilk beşi arasında göstermektedir; bu da bu korumaya ihtiyaç duyan tüketicilerin havuzunu orijinal gazetecilik nişinin çok ötesine genişletmektedir. ## 6. Donanım Tek Başına Neden Kazanmayacak En iyi donanıma sahip olmak tüketici pazar payını garanti etmez. Bir donanım satıcısı ile uçtan uca tüketici ürünü arasında beş boşluk (gap) vardır: Dağıtım, ilk katılım (onboarding), kurtarma, cihazlar arası yolculuklar ve ölçüm. Her boşluk, silikon tasarımının dışında kalan beceriler gerektirir. 1. **Dağıtım**: Donanım şirketlerinin tüketicilerle gerçek bir doğrudan ilişkisi yoktur. Teoride herkes yubico.com'dan bir [YubiKey](https://www.corbado.com/glossary/yubikey) sipariş edebilir, ancak pratikte alıcılar güvenlik uzmanları, BT yöneticileri ve küçük bir meraklı grubudur. Bu kanal, markayı hiç duymamış ve 50 dolarlık bir kimlik doğrulayıcıyı kendi başına aramayacak olan ana akım tüketicilere ölçeklenemez. Bankalar, telekomünikasyon şirketleri, perakendeciler ve işletim sistemi satıcıları tüketici ilişkisine sahip olan taraflardır, bu nedenle tüketici ölçeğinde bir donanım satıcısının bir ortağa veya beyaz etiket (white-label) anlaşmasına ihtiyacı vardır. 2. **İlk Katılım (Onboarding)**: Tüketicinin bir geçiş anahtarı ayarlamak için atması gereken her adım size kullanıcı kaybettirir. Gerçek dünyadaki bankacılık dağıtımları, [Baymard Institute sepet terk etme kriterleri](https://baymard.com/lists/cart-abandonment-rate) ile uyumlu olarak, kayıt hunisi boyunca yüzde 30 ila 60'lık düşüş (drop-off) oranları bildirmektedir. 3. **Kurtarma**: Kurtarma hikayesi olmayan bir tüketici ürünü bozuktur. Kurtarma için hesap düzeyinde sinyallere, [kimlik doğrulamaya (identity verification)](https://www.corbado.com/blog/digital-identity-guide) ve risk puanlamasına ihtiyaç vardır; bunların tümü [güvenen tarafın (relying party)](https://www.corbado.com/glossary/relying-party) içinde yaşar. 4. **Cihazlar arası yolculuklar**: Bir kullanıcı telefonda, dizüstü bilgisayarda, akıllı TV'de ve arabada oturum açar. Donanıma bağlı kimlik bilgisi ise yalnızca tek bir cihazda yaşar. Bu nedenle, çıkmaz sokaklardan kaçınmak için donanım ile senkronize kimlik bilgileri arasında akıllı yönlendirmeye (routing) ihtiyacınız vardır. 5. **Ölçüm**: Donanım satıcıları genellikle ürünü sevk eder ve unutur. Satılan birimleri ve etkinleştirilen lisansları sayarlar. WebAuthn seremonisinin başarısız olduğunu veya kullanıcının dokunmaktan vazgeçtiğini görmezler. Ölçüm olmadan, diğer dört boşluk kapatılamaz. Bu beş boşluğu kendi ürünü içinde çözen satıcılar, uçtan uca kimlik doğrulama platformlarına dönüşürler. Bunu yapmayanlar bileşen işinde kalır ve başkasının platformuna satış yaparlar. ## 7. Gerçek Kaldıraç Nedir? Benimseme Mühendisliği Benimseme mühendisliği, donanıma bağlı geçiş anahtarlarını kaydı artıran, her seremoniyi ölçen ve bozuk yolları atlayarak yönlendiren bir yazılımla eşleştirmek anlamına gelir. Bu faaliyetlerin hiçbiri donanımla ilgili değildir. Tüketici pazarlarında kazanmak için dördü de gereklidir ve ancak kapalı bir döngü olarak çalışırlar. Aşağıdaki diyagram, dört faaliyetin birbirini nasıl beslediğini göstermektedir. [FIDO Alliance Authentication Barometer 2024](https://fidoalliance.org/content/research/), tüketicilerin yüzde 53'ünün en az bir hesapta geçiş anahtarlarını etkinleştirdiğini bildirmektedir, ancak düzenlemeye tabi yolculuklarda donanıma bağlı aktivasyon hâlâ yüzde 5'in altındadır. Bu 10 katlık bir farktır ve benimseme mühendisliği bunu kapatan şeydir. [W3C WebAuthn çalışma grubu](https://www.w3.org/Webauthn/) bu farkı bir spesifikasyon sorunu olarak değil, bir dağıtım sorunu olarak ele almaktadır. ### 7.1 Huni Düzeyinde Telemetri Huni düzeyinde, [geçiş anahtarı gözlemlenebilirliği](https://www.corbado.com/blog/authentication-observability) "kullanıcı oturum aça tıklar"dan "oturum token'ı verilir"e kadar her bir adımı ölçer. Bu enstrümantasyon olmadan, bir ekip "kullanıcı donanım seçeneğini görmedi", "kullanıcı gördü, dokundu ve NFC başarısız oldu" ile "kullanıcı seremoniyi tamamladı ancak güvenen taraf sonucu reddetti" arasındaki farkı anlayamaz. Huni telemetrisi size gerçekten önemli olan metrikleri verir: Donanım-geçiş anahtarı aktivasyon oranı, cihaza göre donanım-geçiş anahtarı başarı oranı, tamamlama süresi ve adıma göre terk etme (abandonment). [W3C WebAuthn Level 3 spesifikasyonu](https://www.w3.org/TR/webauthn-3/) bir seremoninin döndürebileceği 14 farklı hata kodunu tanımlar, ancak [FIDO Alliance Authenticate 2024 dağıtım konuşmalarına](https://fidoalliance.org/content/event/2024-authenticate-conference/) göre üretimdeki dağıtımların çoğu bunların beşinden daha azını enstrümante etmektedir. ### 7.2 Oturum Düzeyinde Teşhis Tek bir kimlik doğrulama başarısız olduğunda, destek ekiplerinin tam olarak ne olduğunu görmesi gerekir. Oturum düzeyinde teşhisler; aktarım tipini (NFC, USB veya BLE), CTAP hata kodunu, tarayıcıyı, işletim sistemi sürümünü, cihaz üreticisini ve seremonideki her adımın zamanlamasını yakalar. [FIDO CTAP 2.1 spesifikasyonu](https://fidoalliance.org/specs/fido-v2.1-ps-20210615/fido-client-to-authenticator-protocol-v2.1-ps-20210615.html), [kimlik doğrulayıcıların](https://www.corbado.com/glossary/authenticator) döndürebileceği 20'den fazla hata kodunu tanımlar ve bunlar [W3C WebAuthn Level 3 spesifikasyonunda](https://www.w3.org/TR/webauthn-3/) belirli kullanıcı kurtarma eylemleriyle eşleştirilir. Bu telemetri olmadan, destek temsilcisi yalnızca "oturum açma başarısız oldu" mesajını görür ve hesap kurtarma işlemine başlayabilir. ### 7.3 Cihaza Göre Akıllı Yönlendirme (Device-Intelligent Routing) Bazı cihaz ve işletim sistemi kombinasyonları sürekli olarak bozulur. Büyük dağıtımlardan elde edilen gerçek dünya verileri, tekil bozuk eşleşmelerde yüzde 40 ila 90 oranında iptal (abort) oranları göstermektedir; yaygın modeller [Android Issue Tracker](https://issuetracker.google.com/) ve [FIDO Alliance Authenticate 2024 konuşmalarında](https://fidoalliance.org/content/event/2024-authenticate-conference/) belgelenmiştir. Bilinen bozuk kombinasyonlarda donanım seçeneğini gizleyen ve en iyi ikinci yola yönlendiren yönlendirme mantığı, kullanıcıları hata senaryosunun dışında tutar. Ancak bu yönlendirme kararlarını yalnızca, [OpenSignal cihaz veritabanı](https://www.opensignal.com/) tarafından izlenen yaklaşık 24.000 farklı Android cihaz modeli arasındaki bozuk eşleşmeleri gözlemlenebilirlik verileri belirledikten sonra alabilirsiniz. ### 7.4 İhraççılarla Sürekli Yineleme [Gartner kimlik programları araştırmasına](https://www.gartner.com/en/information-technology/insights/identity-and-access-management) göre, bankalar ve fintech'ler tipik olarak 6 ila 12 aylık döngülerde pilot uygulamalar ve tam dağıtımlar yürütürler. Kazanan platform, gözlemlenebilirlik verilerini haftalık sürüm notlarına, hata düzeltmelerine ve istikrarlı bir şekilde artan başarı oranlarına dönüştürür. Üç aylık incelemelerle yapılan statik dağıtım, sürekli yinelemeye kaybeder. ## 8. Peki Tüketici Yarışını Gerçekte Kim Kazanıyor? Hiçbir saf donanım satıcısı tüketici yarışını kazanamaz. Tüketici kimlik doğrulama platformu rolü için üç arketip rekabet ediyor: Bankalar ve [ihraççılar](https://www.corbado.com/glossary/issuer), yazılım katmanları oluşturan donanım satıcıları ve işletim sistemi (OS) platformları. Bankalar, fiziksel dağıtıma sahip oldukları ve [PSD2](https://www.corbado.com/blog/psd2-passkeys) ile [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity)'den yasal güvenceleri olduğu için bugün lider durumdalar. İşletim sistemi platformları sattıkları her telefonun ve dizüstü bilgisayarın içinde zaten silikona sahiptir, ancak [Apple](https://www.apple.com/) ve [Google](https://www.google.com/) geçiş anahtarlarını varsayılan olarak senkronize ettiği sürece, donanıma bağlı geçiş anahtarlarında değil, senkronize geçiş anahtarlarında rakiplerdir. ### 8.1 Bankalar Bugün Neden Lider? Bankalar bugün tüketici donanımına bağlı geçiş anahtarı pazarına liderlik ediyor. Dört avantaj onların lehine birleşiyor. Zaten fiziksel kart basıyorlar. [PSD2](https://www.corbado.com/blog/psd2-passkeys), PSD3, [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity), RBI ve [APRA CPS 234](https://www.apra.gov.au/information-security)'den yasal güvenceleri var. Tüketici güvenine sahipler. Ve halka açık akıllı kart satıcısı açıklamalarına göre, portföyleri genelinde 2 ila 5 ABD doları birim maliyet primini absorbe edebilirler. Bu dört avantajı benimseme mühendisliğiyle birleştiren bankalar, geçiş anahtarı etkin müşterilerinden çok yıllı elde tutma (retention) sağlarlar. Bir donanım ürünü satın alan ve işin orada bittiğini varsayan bankalar ise sektörün son iki yıldır bildirdiği aynı tek haneli aktivasyon oranlarına ulaşır. ### 8.2 Peki ya Yazılım Geliştiren Donanım Satıcıları? İkinci arketip, aynı zamanda bir yazılım katmanı da oluşturan donanım satıcısıdır. Çeşitli güvenlik anahtarı ve akıllı kart üreticileri bu geçişe başladılar, ancak ne tür bir yazılım sundukları konusunda kesin olmakta fayda var. Bu ürünlerin çoğu, tüketici benimseme açığını kapatmak için gereken türden huni düzeyinde [geçiş anahtarı gözlemlenebilirliği (passkey observability)](https://www.corbado.com/blog/authentication-observability) değil, IAM, filo yönetimi veya [uyarlanabilir kimlik doğrulama (adaptive authentication)](https://www.corbado.com/blog/continuous-passive-authentication) platformlarıdır. - [Yubico](https://www.yubico.com/), herhangi bir güvenlik anahtarı satıcısı arasındaki en eksiksiz platformu oluşturdu. [YubiKey as a Service](https://www.yubico.com/products/yubienterprise-subscription/) aboneliği; Okta, Microsoft Entra ID ve Ping Identity ile entegre, kullanıcı başına lisanslamayı, filo ve gönderi yönetimi için bir Müşteri Portalını, FIDO Pre-reg'i, bir Kayıt uygulamasını, SDK'yı ve küresel teslimatı birleştirir. Ürün temel olarak tüketici benimseme analitiği değil, kurumsal bir teslimat ve yaşam döngüsü katmanıdır. - [Thales](https://cpl.thalesgroup.com/access-management), SafeNet eToken ve akıllı kart donanımını, [SSO](https://www.corbado.com/blog/passkeys-single-sign-on-sso) ve [uyarlanabilir kimlik doğrulama](https://www.corbado.com/blog/continuous-passive-authentication) özellikli bir bulut Hizmet Olarak Kimlik (Identity-as-a-Service) platformu olan [SafeNet Trusted Access](https://cpl.thalesgroup.com/access-management/safenet-trusted-access) ile eşleştirir. - [OneSpan](https://www.onespan.com/), DIGIPASS donanımını bankacılık ve fintech'e odaklanan [OneSpan Cloud Authentication](https://www.onespan.com/products/cloud-authentication) platformu ve Akıllı [Uyarlanabilir Kimlik Doğrulama](https://www.corbado.com/blog/continuous-passive-authentication) ile paketler. - [HID Global](https://www.hidglobal.com/), Crescendo akıllı kartlarını [HID Authentication Service](https://www.hidglobal.com/services/hid-authentication-service) ve HID Approve mobil kimlik doğrulayıcı ile birlikte gönderir. - [CompoSecure](https://www.compositionusa.com/), [Arculus](https://www.arculus.co/) FIDO2 akıllı kartını eşlik eden bir [cüzdan](https://www.corbado.com/blog/digital-wallet-assurance) uygulaması ve ihraççılar için bir geliştirici SDK'sı ile genişletir. Şimdiye kadar, bu satıcıların çoğu gelirlerinin büyük kısmını hâlâ donanımdan elde etmektedir. Yazılım yığınını cihaz teslimatı ve IAM'den gerçek seremoni düzeyindeki [geçiş anahtarı gözlemlenebilirliğine](https://www.corbado.com/blog/authentication-observability) kadar genişleten satıcılar, uçtan uca benimsemeyi sağlama şansı elde eder. Bunu yapmayan satıcılar ise bir bileşen tedarikçisi olarak kurumsal alanın içinde kilitli kalırlar. ### 8.3 Peki ya İşletim Sistemi (OS) Platformları? İşletim sistemi platformları özel bir durumdur. Donanım mevcuttur - [Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web), [Android StrongBox](https://source.android.com/docs/security/features/keystore) ve [Windows 11](https://www.corbado.com/blog/passkeys-windows-11)'deki [Pluton çipi](https://learn.microsoft.com/en-us/windows/security/hardware-security/pluton/microsoft-pluton-security-processor) sattıkları her cihazın içinde bulunur - ancak Apple ve Google'daki varsayılan [geçiş anahtarı politikası](https://www.corbado.com/faq/multiple-passkeys-per-account) senkronizasyon yapmaktır, bu nedenle tüketiciler hiçbir zaman kutudan çıkar çıkmaz gerçek bir donanıma bağlı kimlik bilgisi elde edemezler. iCloud Keychain ve Google Password Manager, anahtarı cihazlar arasında kopyalar, bu da kullanıcının gördüğü davranışı [senkronize bir geçiş anahtarıyla](https://www.corbado.com/blog/device-bound-synced-passkeys) aynı hale getirir. Microsoft'un TPM'ye bağlı Windows Hello'su, anahtarları hâlâ yerel tutan tek tüketici güvenli elemanıdır, ancak Edge de senkronizasyona doğru ilerliyor ve Windows Hello'yu donanıma bağlı tüketici yarışının dışında tutuyoruz çünkü ayrı bir donanım satın alınmasını gerektirmiyor. Teorik olarak Apple, Google veya Microsoft, platforma bağlı, senkronize olmayan geçiş anahtarlarını, senkronize edilmiş olanlarla aynı parlak UX ile sunarak kategoriyi yeniden tanımlayabilir. Bunu planladıklarına dair kamuoyuna yansıyan hiçbir işaret yok. Senkronizasyon varsayılan olarak kaldığı sürece, işletim sistemi platformları donanıma bağlı geçiş anahtarlarında değil, senkronize geçiş anahtarlarında rakiptir ve özel güvenlik anahtarları ile FIDO2 akıllı kartları tek gerçek tüketici donanım yolu olmaya devam eder. ### 8.4 Gerçek Yarış Neye Benziyor? Gerçek yarış "güvenlik anahtarı akıllı karta karşı" değildir. Gerçek soru, önemli olan yerlerde donanımı, diğer her yerde yazılım, veri ve benimseme mühendisliği ile birleştiren tüketici kimlik doğrulama platformunu kimin kuracağıdır. [FIDO Alliance Authenticate 2024 açılış konuşmasına](https://fidoalliance.org/content/event/2024-authenticate-conference/) göre, önümüzdeki üç ila beş yıl içindeki muhtemel kazananlar şunlardır: - FIDO2 akıllı kartlarını varsayılan tüketici deneyimine dönüştüren üç ila beş büyük banka ve ödeme ağı. - Sadece IAM ve filo yönetimi değil, gerçek seremoni düzeyinde analitik ile kimlik doğrulama platformlarına başarılı bir şekilde geçiş yapan bir veya iki donanım satıcısı. - Kullanıcıların yüzde 5 ila 10'unun daha güçlü bir hesap koruması karşılığında donanım için gerçekten ödeme yapacağını kanıtlamaları halinde, Google'ın Gelişmiş Koruma'sı ve OpenAI'nin Gelişmiş Hesap Güvenliği gibi yüksek değerli hesap programları. Saf kalan saf donanım şirketlerinin tüketici yarışını kazanması pek olası değildir. Sonunda başkasının platformunda bir silikon tedarikçisi olurlar. Bu sağlıklı bir iştir ve kurumsal alanda gerçek bir kaledir (moat), ancak tüketici hakimiyeti değildir. ## 9. Bankalar, İhraççılar ve Ürün Ekipleri Sırada Ne Yapmalı? [FIDO Alliance dağıtım başucu kitabına](https://fidoalliance.org/content/research/) ve [Gartner kimlik kılavuzuna](https://www.gartner.com/en/information-technology/insights/identity-and-access-management) göre, önümüzdeki 12 ay içinde donanıma bağlı geçiş anahtarlarını değerlendiren herhangi bir ürün ekibi için üç eylem önemlidir. Donanımın gerçekten kazandığı kullanım senaryosunu (use case) seçin. Her donanım dağıtımını benimseme mühendisliği ile eşleştirin. Ve veri geri bildirim döngüsünü ilk günden itibaren oluşturun. 1. **Doğru kullanım senaryosunu seçin**: Yüksek değerli [işlem onayı](https://www.corbado.com/blog/3ds-webauthn), düzenlemeye tabi yolculuklarda [kademeli kimlik doğrulama (step-up authentication)](https://www.corbado.com/glossary/step-up-authentication) ve yüksek riskli segmentler için hesap kurtarma. Donanımı genel tüketici oturum açma işlemine zorlamayın. 2. **Donanımı benimseme mühendisliği ile eşleştirin**: Enstrümantasyon, [yerel uygulama (native app)](https://www.corbado.com/blog/native-app-passkeys) [hata yönetimi](https://www.corbado.com/blog/native-app-passkey-errors), cihaz-akıllı yönlendirme ve bir [senkronize geçiş anahtarı](https://www.corbado.com/blog/device-bound-synced-passkeys) taban çizgisine (baseline) karşı açık ölçüm. 3. **Veri döngüsünü erkenden kurun**: Yayından (rollout) sonra değil, ilk pilot uygulamayla birlikte huni telemetrisini başlatın. Hangi Android üreticisinin, hangi [iOS](https://www.corbado.com/blog/webauthn-errors) sürümünün ve hangi tarayıcı kombinasyonunun dokunma (tap) başarısını öldürdüğünü gören ekipler haftalar içinde yineleme yapabilir (iterate). Bunu yapmayan ekipler ise anekdotlara indirgenir ve destek biletlerini beklemek zorunda kalırlar. Donanım satıcıları için mesaj daha da nettir. Şirketin bir bileşen tedarikçisi olarak mı kalacağına yoksa bir platform mu kuracağına karar verin. Her ikisi de uygulanabilirdir. Tam olarak taahhütte bulunmadan her ikisini de yapmaya çalışmak, platform yatırımını yetersiz finanse edilmiş ve silikon yol haritasını dağılmış halde bırakır. ## 10. Sonuç Donanıma bağlı geçiş anahtarları hâlâ [NIST AAL3](https://pages.nist.gov/800-63-3/sp800-63b.html) seviyesine ulaşan, bir bulut hesabı ihlalinden sağ çıkan ve [PSD2](https://www.corbado.com/blog/psd2-passkeys), [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys) ve benzeri düzenlemelerin en katı okumasını açıkça karşılayan tek tüketici kimlik bilgisi türüdür. Teknoloji sağlamdır. Silikon güçlüdür. Standartlar olgundur. Teknolojinin kendi başına yapamayacağı şey ise tüketici benimsemesini kazanmaktır. Apple ve Google, işletim sistemi ve tarayıcı katmanını kontrol eder. Bankalar ve ihraççılar tüketici dağıtımını kontrol eder. Donanım satıcıları silikonu kontrol eder. Tüketici yarışını, benimsemeyi sağlayan, her seremoniyi ölçen ve boşlukların (gaps) etrafından yönlendiren bir yazılım platformu aracılığıyla bu üçünü birleştiren oyuncu kazanır. Kazanan reçete; donanım artı [geçiş anahtarı gözlemlenebilirliği](https://www.corbado.com/blog/authentication-observability) artı sürekli benimseme mühendisliğidir. Her üçünü de sunan satıcı veya [ihraççı](https://www.corbado.com/glossary/issuer), önümüzdeki on yıl için tüketici oyun kitabını yazacaktır. Geri kalan herkes ise sadece bir başkasının platformuna bileşen satacaktır. ## Sıkça Sorulan Sorular ### Tüketiciler için donanıma bağlı geçiş anahtarları ile senkronize geçiş anahtarları arasındaki fark nedir? Donanıma bağlı geçiş anahtarları özel anahtarı bir güvenlik anahtarı, FIDO2 akıllı kartı veya yerleşik bir TPM çipi gibi fiziksel bir güvenli elemanda tutar. Anahtar bu donanımdan asla ayrılmaz. Senkronize geçiş anahtarları ise iCloud Keychain, Google Password Manager veya üçüncü taraf bir yöneticide yaşar ve cihazlarınız arasında bulut üzerinden kopyalanır. Donanıma bağlı geçiş anahtarları, özel anahtar dışa aktarılamadığı için NIST AAL3'e ulaşır. Senkronize geçiş anahtarları ise bulut senkronizasyon yolu anahtarı kurtarılabilir (recoverable) hale getirdiği için AAL2'de kalır. Güvencedeki bu tek adımlık fark, bankacılık, kamu ve sağlık sektörlerindeki düzenleyiciler için çok şey ifade eder. ### Neden donanım güvenlik anahtarları geçiş anahtarı benimsenmesine rağmen tüketiciler nezdinde ana akım haline gelmedi? StatCounter'a göre Apple ve Google, tüketicilerin yüzde 99'undan fazlası tarafından kullanılan işletim sistemi ve tarayıcıları kontrol etmektedir. Her ikisi de WebAuthn istemlerinde (prompts) kendi senkronize kimlik bilgisi yöneticilerine öncelik vermektedir. Apple AuthenticationServices ve Android Credential Manager belgelerine göre, donanım kimlik doğrulayıcıları her varsayılan akışta bir ila üç tık daha derinde yer alır. Android'de NFC davranışı telefon üreticileri arasında parçalanmıştır ve Conditional UI (Koşullu Kullanıcı Arayüzü) varsayılan olarak senkronize kimlik bilgilerini kullanır. Üstelik bir hizmet onları zorlamadıkça çoğu tüketici ayrı bir kimlik doğrulayıcı için 40 ila 80 ABD doları ödemeyecektir. ### Tüketiciler için donanıma bağlı bir geçiş anahtarını haklı çıkaran kullanım durumları hangileridir? Üç kategori tüketicilere yeterli motivasyonu sağlar. Birincisi, Hindistan'daki RBI ve Avustralya'daki APRA CPS 234'ün yanı sıra PSD2, PSD3'ün de güçlü müşteri kimlik doğrulaması gerektirdiği bankacılık ve ödemelerdir. İkincisi, bir anahtarı kaybetmenin fonları kaybetmek anlamına geldiği ve Ledger ile Trezor'un şimdiden 9 milyondan fazla cihaz sevk ettiği kripto ve bireysel saklamadır (self-custody). Üçüncüsü, ele geçirilmesinin geri alınamaz olduğu birincil e-posta, devlet kimlik cüzdanları ve içerik üretici hesapları da dahil olmak üzere yüksek değerli hesaplardır. Google'ın Gelişmiş Koruma Programı (Advanced Protection Program) ve Nisan 2026'da ortak markalı YubiKey ikili paketiyle yaklaşık 68 ABD dolarına piyasaya sürülen ChatGPT için OpenAI'nin Gelişmiş Hesap Güvenliği, bu kohortu hedeflemektedir. Bu üç kategori dışında genellikle senkronize geçiş anahtarları kazanır. ### FIDO2 akıllı kartları tüketici donanım geçiş anahtarı yarışına nasıl uyuyor? CompoSecure (10-K raporuna göre yılda 100 milyondan fazla metal ödeme kartı gönderiyor ve FIDO2 ürünü olarak Arculus'u sunuyor) ve IDEMIA gibi akıllı kart üreticileri, FIDO2 kimlik bilgilerini barındırabilen güvenli elemanlara sahip NFC akıllı kartlar üretiyor. Tüketiciler halihazırda bir kredi kartı taşıyor, bu nedenle o karta donanıma bağlı bir geçiş anahtarı eklemek ayrı bir cihaz ihtiyacını ortadan kaldırıyor. Bankalar, neobankalar ve kripto saklayıcıları (custodians) daha sonra kimlik doğrulama, ödeme ve kademeli (step-up) kimlik doğrulamayı tek bir form faktöründe birleştirebilirler. İşin zor kısmı, NFC dokunuşunu iOS ve Android tarayıcılarında güvenilir hale getirmek ve ihraççıları kart başına 2 ila 5 dolarlık maliyet primini karşılamaya ikna etmektir. ### Tüketici donanımına bağlı geçiş anahtarı pazarını gerçekten kazanmak için ne gerekiyor? İyi bir donanım gereklidir, ancak yeterli değildir. Kazanan, güvenilir bir donanım form faktörünü, kayıt ve kimlik doğrulamanın her adımını ölçen, bozuk cihaz ve işletim sistemi kombinasyonlarının etrafından yönlendiren ve ihraççılara dolandırıcılık ile destek maliyetlerinin düştüğünü kanıtlayan bir istihbarat platformuyla eşleştirir. Huni düzeyinde geçiş anahtarı gözlemlenebilirliği olmadan, satıcılar ve bankalar kullanıcıların yüzde 60'ının NFC dokunuşunu terk ettiğini (FIDO Alliance Authenticate 2024 dağıtım konuşmalarında belgelenmiş bir model) veya W3C WebAuthn Level 3 spesifikasyonuna göre Conditional UI'ın istemi (prompt) sessizce yuttuğunu fark edemezler. Yarışı, hangi anahtarın en güçlü titanyum kabuğa sahip olduğu değil, veri ve yazılım belirleyecektir.