Get your free and exclusive 80-page Banking Passkey Report
github local biometrics

Yerel Uygulamalar: Geçiş Anahtarları ve Yerel Biyometri Karşılaştırması

Optimum uygulama güvenliği ve sorunsuz kullanıcı erişimi için geçiş anahtarlarını yerel biyometri ile birlikte kullanmanın avantajlarını anlayın.

Vincent Delitz

Vincent

Created: June 17, 2025

Updated: July 8, 2025


See the original blog version in English here.

Our mission is to make the Internet a safer place and passkeys provide a superior solution to achieve that. That's why we want to keep you updated with the latest industry insights here.

1. Giriş#

Mobil telefonlarda biyometrinin yaygınlaşmasının ardından, birçok yerel uygulama, uygulama erişimini korumak için Face ID veya Touch ID (veya Android eşdeğeri) gibi özellikleri kullanmaya başladı. Bu yerel biyometrik koruma, hızlı ve sorunsuz erişim sağlayarak kullanıcı rahatlığını önemli ölçüde artırır. İlk bakışta, geçiş anahtarları ve yerel biyometri, her ikisi de kullanıcıyı doğrulamayı içerdiği için gereksiz görünebilir. Ancak temelde farklı amaçlara hizmet ederler. Bu makale şunları inceleyecektir:

  • Geçiş Anahtarları ve Yerel Biyometri Karşılaştırması: Yerel biyometri ve geçiş anahtarlarının rolleri ve işlevsellikleri açısından nasıl farklılaştığı?
  • Yerel Biyometri Kullanan Uygulamalara Geçiş Anahtarları Ekleme: Zaten biyometri kullanan uygulamalara geçiş anahtarları eklemek mantıklı mı? Avantajları nelerdir?

Sonunda, daha güvenli, kullanıcı dostu ve sorunsuz bir uygulama deneyimi oluşturmak için bu çözümleri ne zaman ve nasıl birlikte kullanacağımızı daha iyi anlayacağız. Ayrıca, geçiş anahtarları ve yerel biyometrinin birleştirilmesinin hem güvenliği hem de rahatlığı artırabileceği pratik senaryoları ana hatlarıyla belirleyeceğiz, böylece geliştiricilerin kullanıcı ihtiyaçlarını etkili bir şekilde karşılamak için bilinçli kararlar alabilmelerini sağlayacağız.

2. Yerel Biyometri Uygulamaları Nasıl Korur?#

Apple'ın Face ID, Touch ID veya Android'in biyometri yetenekleri gibi yerel biyometrik kimlik doğrulama yöntemleri, bir kullanıcının kimliğini doğrulamak için benzersiz fiziksel özelliklerden (ör. yüz hatları veya parmak izleri) yararlanır. Kullanıcının bildiği bir şeye dayanan geleneksel PIN'ler veya parolaların aksine, biyometri kullanıcıya özgü bir şeye dayanır. Bu değişim, tekrar tekrar bir kod yazma ihtiyacını ortadan kaldırır, sürtünmeyi önemli ölçüde azaltır ve günlük uygulama erişimini hem hızlı hem de güvenli hale getirir.

Substack Icon

Subscribe to our Passkeys Substack for the latest news.

Subscribe

2.1 Uygulama Güvenliğinin Tarihçesi: PIN'lerden ve Parolalardan Biyometriye#

Biyometri mobil telefonlarda yaygınlaşmadan önce, hassas içeriği korumayı amaçlayan uygulamalar genellikle kullanıcılardan her başlatıldıklarında ek bir PIN veya parola girmelerini isterdi. Bu yaklaşım güvenliği artırsa da, özellikle kullanıcı oturumlarının başında zaten kimlik doğrulaması yapmışken ek bir rahatsızlık yaratıyordu. Cihaz tabanlı yüz tanıma ve parmak izi tarama teknolojilerinin gelişi bu süreci basitleştirdi. Tekrar tekrar bir kod girmek yerine, bir kullanıcı artık hızlı bir yüz taraması veya kısa bir dokunuşla uygulamanın kilidini açabiliyordu. Herhangi bir nedenle biyometrik kontrol başarısız olursa veya kullanıcı etkinleştirmemeyi tercih ederse, yedek bir PIN, parola veya şifre kullanılabilir durumda kalır. Bu tasarım, güvenlikten ödün vermeden hem rahatlık hem de erişilebilirlik sağlar.

2.2 Yerel Doğrulama ve Uzaktan Kimlik Doğrulama Karşılaştırması#

Yerel biyometrik kontrolleri tam uzaktan kimlik doğrulama olaylarından ayırmak çok önemlidir. Uzaktan kimlik doğrulama, yeni bir oturumun başında, kullanıcının kimliğini hizmetin arka uç sistemlerine karşı parolalar veya geçiş anahtarları gibi kimlik bilgilerini kullanarak doğrular. Bu adım, kullanıcı ile hizmet arasında güven oluşturur.

Yerel biyometri ise aksine, devam eden, kimliği doğrulanmış bir oturum sırasında kimliği yeniden doğrulamaya odaklanır. Kullanıcıdan uygulamadan kısa bir süreliğine ayrıldığında veya telefonunu kilitlediğinde parolaları veya diğer kimlik bilgilerini yeniden girmesini istemek yerine, yerel biyometri aynı yetkili kullanıcının hala cihazın kontrolünde olduğunu doğrular. Bu cihaz merkezli doğrulama, internet bağlantısı veya uzak sunucularla etkileşim gerektirmez, bu da onu günlük kullanımda hızlı, güvenilir ve sorunsuz hale getirir.

2.3 Donanım Güvenlik Modülleri ve Aktarılamazlık#

Biyometrik veriler, iOS'taki Secure Enclave veya Android'deki Güvenilir Yürütme Ortamı (TEE) gibi özel donanım güvenlik modülleri içinde güvenli bir şekilde saklanır ve işlenir. Bu güvenilir modüller, hassas biyometrik verileri kurcalama, çıkarma veya aktarmadan korumak için tasarlanmıştır.

Bu donanım düzeyinde sabitleme nedeniyle, biyometrik doğrulama cihazlar veya hizmetler arasında kolayca paylaşılamaz. Her cihazın biyometrik şablonları o belirli birime özgü kalır, bu da bir kullanıcı yeni bir telefona geçtiğinde biyometrisini sıfırdan yeniden kaydetmesi gerektiği anlamına gelir. Bu, cihaz değiştirirken küçük bir başlangıç adımı eklese de, yetkisiz erişime karşı koruma sağlar ve merkezi olarak depolanan biyometrik verileri kötüye kullanabilecek uzaktan saldırıları önler. Ayrıca, yerel biyometri internet bağlantısı gerektirmeden çalışır, bu da cihaz çevrimdışıyken bile güvenilir olmalarını sağlar.

Slack Icon

Become part of our Passkeys Community for updates & support.

Join

2.4 Özet: Yerel Biyometri#

Yerel biyometri, uygulamanın bankacılık, sigorta veya diğer kişisel ayrıntılar gibi önemli bir işlevselliğe sahip olması durumunda tekrarlanan özel PIN veya parola girişi gerektirmeden, cihazı o anda kullanan kişinin gerçekten de hak sahibi, zaten kimliği doğrulanmış kullanıcı olduğunu doğrulayarak güvenliği kolaylaştırır.

Cihaz üzerinde sorunsuz ve anında çalışarak, çevrimdışı çalışarak ve hassas biyometrik verileri korumak için güvenli donanım enklavlarına dayanarak rahatlığı sürdürürler. Kullanıcı kimliğini ilk etapta oluşturmak için ilk uzaktan kimlik doğrulamanın (geçiş anahtarı veya parola gibi) yerini alamasalar da, sonraki, devam eden oturumları yönetme ve koruma konusunda çok iyidirler.

Taşınabilirlik eksikliği ve yeni cihazlarda yeniden kayıt ihtiyacı gibi sınırlamaları, artırılmış rahatlık ve sıkı cihaz düzeyinde güvenlik uğruna yapılan ödünlerdir. Sonuç olarak, yerel biyometri, bu güven ilk kurulduktan sonra bir uygulama oturumunda sürekli güven sağlamanın güçlü, kullanıcı dostu bir yöntemi olarak hizmet eder.

3. Geçiş Anahtarları Uygulamaları Nasıl Korur?#

Geçiş anahtarları, parolalar gibi paylaşılan sırları asimetrik kriptografik kimlik bilgileriyle değiştirerek kimlik doğrulamanın doğasını değiştirir. Yalnızca zaten kimliği doğrulanmış bir kullanıcıyı yerel olarak doğrulayan yerel biyometrinin aksine, geçiş anahtarları kullanıcıları uzak bir hizmete tanıtmak için birincil bir yöntem olarak hizmet eder. Bu, kullanıcı ve cihazın başlangıçta uygulamanın arka ucu tarafından bilinmediği bir senaryoda bile güvenli, kimlik avına dayanıklı bir oturum açma deneyimi sağlar.

StateOfPasskeys Icon

Want to find out how many people use passkeys?

View Adoption Data

3.1 Parolalardan Geçiş Anahtarlarına: Güvenlikte Bir Sıçrama#

Geçiş anahtarlarından önce, uzak bir hizmetle güven oluşturmanın yaygın yaklaşımı, hem kullanıcı hem de sunucu tarafından bilinen paylaşılan sırlar olan parolaları içeriyordu. Parolaların uygulanması basit olsa da, kimlik avı, kimlik bilgisi doldurma ve parola yeniden kullanımı gibi tehditlere karşı savunmasızdırlar.

Geçiş anahtarları bu zorlukları bir çift kriptografik anahtar kullanarak ele alır: kullanıcının cihazında güvenli bir şekilde saklanan bir özel anahtar ve hizmete kayıtlı karşılık gelen bir genel anahtar. Bir oturum açma girişimi gerçekleştiğinde, hizmet yalnızca kullanıcının özel anahtarı tarafından çözülebilecek bir sınama gönderir. Bu, saldırganlar verileri ele geçirse veya kullanıcıları kimlik bilgilerini ifşa etmeleri için kandırmaya çalışsa bile yetkisiz erişim elde edememelerini sağlar.

3.2 Açık Anahtar Kriptografisi ve Kimlik Avına Karşı Direnç#

Geçiş anahtarları asimetrik kriptografi kullanır:

  • Özel Anahtar (İstemci Tarafı): Cihazın güvenli enklavı içinde güvenli bir şekilde saklanır, diğer uygulamalar veya hatta işletim sisteminin kendisi tarafından erişilemez.
  • Genel Anahtar (Sunucu Tarafı): Uygulamanın arka ucuna kaydedilir, ancak özel anahtar olmadan kendi başına işe yaramaz. Kullanıcı özel anahtarı asla ağ üzerinden göndermediği ve yazacak bir "paylaşılan sırrı" olmadığı için, kimlik avı girişimleri büyük ölçüde etkisiz hale getirilir.

Saldırganlar, kullanıcıları bilmedikleri bir şeyi yazmaları için kandıramazlar ve genel anahtarı ele geçirmek hiçbir avantaj sağlamaz. FIDO2 ve WebAuthn gibi standartlarla desteklenen bu mimari, tüm kimlik doğrulama akışının kullanıcı tarafından girilen kimlik bilgileri yerine kanıtlanabilir kriptografik işlemlere dayanmasını sağlar.

Bu, yerel uygulamaların yanı sıra kimlik avının büyük bir sorun olduğu web sitelerinin de kullanıldığı sistemler için özellikle önemlidir. Bir mobil cihazda oluşturulan geçiş anahtarları, Cihazlar Arası Kimlik Doğrulama aracılığıyla bir masaüstü makinedeki web sitelerinde de kullanılabilir.

Demo Icon

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

3.3 Cihazlar Arası Taşınabilirlik, Bulut Senkronizasyonu ve Sorunsuz Deneyimler#

Geçiş anahtarlarının temel avantajlarından biri, bir kullanıcının cihazları arasında sorunsuz taşınabilirlikleridir. Modern işletim sistemleri, geçiş anahtarlarını güvenli bulut depolama (ör. iCloud Keychain, Google Password Manager) aracılığıyla senkronize edebilir, bu da kullanıcıların uygulamanın ilk kurulumu için yeniden kayıt olmadan veya parolaları hatırlamadan birden fazla cihazdan oturum açmalarını sağlar. Ayrıca, geçiş anahtarları, sürtünme yaratmadan iki faktörlü benzeri koruma sağlamak için ikinci bir faktörün gerekli olacağı senaryolarda da kullanılabilir. Bu sinerji, kullanıcının hangi cihazı seçtiğine bakılmaksızın hızlı, güvenli oturum açmalara olanak tanır ve güvenli kimlik doğrulamanın hem evrensel olarak erişilebilir hem de sürdürülmesi kolay olduğu bir ekosistemi güçlendirir.

3.4 Özet: Geçiş Anahtarları#

Geçiş anahtarları, bilinmeyen kullanıcıları uzak hizmetlere karşı kimlik doğrulamak için güçlü, kimlik avına dayanıklı bir yöntem temsil eder. Asimetrik kriptografiden yararlanarak ve paylaşılan sırlardan cihazda bulunan özel anahtarlara geçerek, parola tabanlı sistemleri rahatsız eden zayıflıkların çoğunu ortadan kaldırırlar. Geçiş anahtarları, sağlam güvenlik, küresel taşınabilirlik ve donanım güvenlik bileşenleriyle doğrudan entegrasyonu birleştirir. Sonuç olarak, yerel biyometrinin tek başına sağlayamayacağı bir şey olan kullanıcı kimliğini oluşturmak için güçlü bir temel oluştururlar. Yerel uygulamalar bağlamında, geçiş anahtarları güvenli bir oturum oluşturmada kritik ilk adımdır, ardından hızlı ve rahat kullanıcı erişimini sürdürmek için yerel biyometri kullanılabilir.

4. Detaylı Analiz: Geçiş Anahtarları ve Yerel Biyometri#

Yerel uygulamalarda kimlik doğrulama söz konusu olduğunda, geçiş anahtarları ve yerel biyometri önemli ancak farklı roller oynar. Her ikisi de kullanıcı deneyimini ve güvenliği geliştirse de, temelde farklı sorunları ele alırlar:

  • Geçiş anahtarları, genellikle ilk oturum açma sırasında veya yeni bir oturum oluştururken bilinmeyen kullanıcıları uzak bir hizmete karşı doğrular.
  • Yerel biyometri, Face ID veya Touch ID gibi, zaten kimliği doğrulanmış bir kullanıcıyı yerel olarak yeniden doğrulayarak devam eden oturumlar için süreklilik ve kolaylık sağlar.

Bu farklılıkları anlamak, hem güvenli hem de kullanıcı dostu olan sağlam kimlik doğrulama akışları oluşturmayı amaçlayan geliştiriciler için hayati önem taşır.

Analyzer Icon

Are your users passkey-ready?

Test Passkey-Readiness

4.1 Geçiş Anahtarları ve Yerel Biyometri: Detaylı Bir Karşılaştırma#

Geçiş anahtarları ve yerel biyometrinin ayrımlarını ve tamamlayıcı rollerini daha iyi anlamak için, aşağıdaki tablo, amaç, kullanım durumları, güvenlik ve taşınabilirlik dahil olmak üzere çeşitli boyutlarda temel özelliklerini karşılaştırmaktadır. Bu karşılaştırma, bu teknolojilerin hem güvenliği hem de kullanıcı rahatlığını artırmak için birlikte çalışırken temelde farklı sorunları nasıl ele aldığını vurgulamaktadır.

YönGeçiş AnahtarlarıYerel Biyometri
AşamaUygulama Kurulumundan Sonra Yeniden Oturum Açma Oturum Zaman AşımıUygulama kurulu ve oturum açık
Temel AmaçBilinmeyen bir kullanıcıyı doğrula (ilk oturum açma)Halihazırda aktif olan kullanıcının (zaten kimliği doğrulanmış olan) cihazın/uygulamanın yasal sahibi olduğunu doğrula
Koruduğu ŞeyKullanıcı hesabına erişimOturum açılmış uygulamaya erişim
Kullanım Senaryosuİlk kez oturum açmalar veya yeniden yüklemelerden sonra, hizmetlerle güven oluşturma ve platformlar arası, cihazlar arası oturum açmaları etkinleştirme için idealdirCihaz sahibinin cihazın sahibi olup olmadığını yeniden doğrulamak, parolaları/geçiş anahtarlarını yeniden girmeden uygulamayı hızlıca açmak için idealdir
Kimlik Doğrulama ModeliUzaktan kimlik doğrulama: kimliği bir arka uç sistemine karşı doğrularYerel doğrulama: cihazda güvenli bir şekilde saklanan biyometrik verileri kontrol eder, uzak bir sunucuyla iletişim kurmaz
MFAEvet + kimlik avına dayanıklıHayır
Yerel biyometriEvet (ör. Face ID, Touch ID, Android Biyometri)Evet (ör. Face ID, Touch ID, Android Biyometri)
Kapsam ve TaşınabilirlikAnahtarların güvenli bulut senkronizasyonu sayesinde cihazlar arası, platformlar arası, uygulamalar arası kullanılabilirlik (yerel uygulamalar + web)Cihaza özgü, aktarılamaz: biyometrik şablonlar yeni cihazlarda yeniden kaydedilmelidir

Platformlar arasında kolayca taşınamaz
Veri Depolama ve GüvenlikGüvenli bir enklavda saklanan özel anahtarlar

Sunucu tarafında saklanan genel anahtarlar

Paylaşılan sır iletilmez

kimlik avına dayanıklı
Cihazdaki güvenli bir donanım enklavında saklanan biyometrik şablonlar

Cihazdan asla ayrılmaz

Cihazın donanımı tarafından korunur
İnternet GereksinimiUzak hizmetle kimlik doğrulamak ve anahtarları kaydetmek için internet bağlantısı gerektirir.İnternet bağlantısı gerekmez; doğrulama tamamen yereldir, bu da onu çevrimdışıyken ve uygulamanın çevrimdışı kullanım durumu olduğunda bile kullanışlı kılar
Yedekleme ve KurtarmaAnahtarlar bulut senkronizasyonu (ör. iCloud Keychain, Google Password Manager) aracılığıyla yedeklenip geri yüklenebilir, bu da bir cihaz kaybolduğunda veya değiştirildiğinde kolay kurtarma sağlarBiyometri için yerleşik bir yedekleme mekanizması yoktur; cihaz arızalanırsa, kullanıcılar biyometrik verilerini yeni bir cihaza yeniden kaydetmelidir
Web Siteleri ve Uygulamalarla EntegrasyonHem yerel uygulamalar hem de web siteleri için kullanılabilir. Geçiş anahtarları, kimlik bilgilerini ifşa etmeden kullanıcıları doğrulayarak oturum açma akışlarını basitleştirir ve genel güvenliği artırırCihazla ve yerel olarak yüklenen uygulamayla sınırlıdır.
Geliştirici UygulamasıWeb standartlarını (WebAuthn, FIDO2) ve yerel platform API'lerini kullanarak entegre edin

Arka uç, genel anahtarları ve sınamaları işlemelidir.
Biyometrik istemler için platform SDK'larından (iOS, Android) yararlanın

Özel bir arka uç işlemi gerekmez.
Kullanıcı Deneyimiİlk kurulumdan sonra, kullanıcılar yeni cihazlarda bile e-posta veya parolaları hatırlamadan hızlıca oturum açabilirler

Azaltılmış sürtünme ile kolaylaştırılmış başlangıç
Kullanıcı zaten kimlik doğruladıktan sonra uygulamalara anında, parolasız yeniden erişim sağlar.

4.2 Geçiş Anahtarları ve Yerel Biyometri Birbirini Nasıl Tamamlar#

Tablo temel farklılıkları vurgulasa da, geçiş anahtarlarının ve yerel biyometrinin rakip teknolojiler olmadığını - tamamlayıcı olduklarını - kabul etmek önemlidir. Birlikte, katmanlı bir kimlik doğrulama deneyimi sunarlar:

  1. İlk Kimlik Doğrulama, Yeniden Oturum Açma ve MFA için Geçiş Anahtarları Geçiş anahtarları, bir kullanıcı ile uzak bir hizmet arasında güven oluşturmada önemlidir. Asimetrik kriptografi kullanarak kimlik avına dayanıklı, platformlar arası ve cihazlar arası kimlik doğrulama sağlarlar. Bu, saldırganlar verileri ele geçirse bile kullanıcı hesaplarına erişememelerini sağlar. Sorunsuz bulut senkronizasyonu (ör. iCloud Keychain veya Google Password Manager) ile geçiş anahtarları, kullanıcıların cihazlar arasında zahmetsizce oturum açmalarını sağlar, bu da onları ilk kez oturum açmalar, yeniden yüklemeler veya çok faktörlü kimlik doğrulama (MFA) senaryoları için ideal hale getirir. Ayrıca mobil uygulamalar ve web siteleri arasında bir köprü görevi görerek bir ekosistem genelinde tutarlı ve güvenli bir deneyim sunarlar. Yüksek güvenlik gerektiren uygulamalar için geçiş anahtarları, geleneksel ikinci faktör yöntemlerini kendi kendine yeten bir MFA çözümüyle değiştirebilir.
  2. Devam Eden Doğrulama için Yerel Biyometri: Kimlik doğrulandıktan sonra, yerel biyometri, aynı yetkili kullanıcının cihazı kullandığını doğrulayarak uygulamalara hızlı, güvenli ve sorunsuz erişim sunar. Geçiş anahtarlarının aksine, yerel biyometrik kontroller cihaz merkezlidir ve çevrimdışıdır, verileri depolamak ve işlemek için güvenli donanım enklavlarına dayanır. Bu, hassas bilgilerin cihazdan asla ayrılmamasını sağlar ve sürekli kullanıcı girişi gerektirmeden bir güvenlik katmanı ekler. Kimlik bilgilerini yeniden girme ihtiyacını azaltarak, yerel biyometri, özellikle bankacılık veya sağlık hizmetleri gibi hassas bilgileri işleyen uygulamalar için kullanıcı deneyimini geliştirir. Cihaz sahibini doğrulayarak devam eden oturumları korur, güvenlikten ödün vermeden kolaylık sağlarlar.

Geçiş anahtarlarını ve yerel biyometriyi birleştirerek, geliştiriciler güvenli, sorunsuz ve kullanıcı dostu bir kimlik doğrulama akışı sunabilirler.

PasskeyAssessment Icon

Get a free passkey assessment in 15 minutes.

Book free consultation

4.3 İkisini Birleştirmek Neden Akıllıca Bir Hamle?#

Geçiş anahtarlarını ve yerel biyometriyi birleştirerek, geliştiriciler aşağıdaki özelliklere sahip sağlam bir kimlik doğrulama akışı oluşturabilirler:

  • Güvenliği Artırır: Geçiş anahtarları kimlik avı, kimlik bilgisi doldurma ve parola hırsızlığına karşı koruma sağlarken, yerel biyometri kimliği doğrulanmış oturumlara yetkisiz erişimi önler.
  • Kullanıcı Deneyimini Geliştirir: Yerel biyometri, parolaları veya geçiş anahtarlarını tekrar tekrar girme ihtiyacını ortadan kaldırarak ilk kimlik doğrulamasından sonra sorunsuz bir deneyim yaratır. Zaman aşımları veya oturum kapatmalar nedeniyle yeniden kimlik doğrulama gerektiğinde, yeniden kimlik doğrulama uygulamayı açmak kadar kolaydır.
  • Çoklu Cihaz Erişimini Basitleştirir: Geçiş anahtarları platformlar arası kimlik doğrulamayı mümkün kılarken, yerel biyometri uygun cihaz düzeyinde güvenlik sağlar. Geçiş anahtarları web'de kullanılıyorsa, bunları yerel uygulamaya eklemek, aradaki boşluğu kapatmak ve kullanıcıya tam hizmetli bir geçiş anahtarı deneyimi sunmak için önemli bir ek adımdır.

Bu sinerji, uygulamaların hem güçlü kimlik doğrulama hem de sorunsuz kolaylık sunabilmesini sağlar - modern kullanıcı beklentileri için kazanan bir kombinasyon.

5. Vaka Çalışmaları ve Gerçek Dünya Örnekleri#

Gerçek dünya örneklerinin ve kombinasyonlarının nasıl çalıştığını daha iyi anlamak için iki farklı uygulamayı inceleyeceğiz: biri yalnızca geçiş anahtarlarından yararlanan, diğeri ise birleşik bir yaklaşım kullanan.

5.1 Kimlik Doğrulama için Geçiş Anahtarlarını Entegre Etme: Kayak#

Kayak uygulaması, kullanıcı kimlik doğrulaması için geçiş anahtarlarının bir uygulamasını göstermektedir. Geçiş anahtarları, oturum açma sürecine sorunsuz bir şekilde entegre edilmiştir ve kullanıcılara e-posta adreslerini veya parolalarını hatırlamalarına gerek kalmadan kimlik doğrulama seçeneği sunar. Kimlik doğrulama ekranında gösterildiği gibi, kullanıcılar oturum açmak için doğrudan bir geçiş anahtarı seçebilirler. Bu yaklaşım, bilişsel yükü azaltarak ve parola ile ilgili sürtünmeyi ortadan kaldırarak kullanıcı deneyimini önemli ölçüde basitleştirir.

Bir geçiş anahtarı ile kimlik doğrulandıktan sonra, kullanıcı yeniden kimlik doğrulaması gerektirmeden uygulamaya sınırsız erişim kazanır. Bu tasarım, özellikle rezervasyon geçmişini ve seyahat planlarını yöneten ve çok hassas veya kritik veriler olarak kabul edilmeyen bir seyahat uygulaması olan Kayak için uygundur.

Kayak'ın Yaklaşımının Önemli Noktaları:

  • Kimlik Doğrulama Ekranında Geçiş Anahtarıyla Oturum Açma: Uygulama hemen geçiş anahtarıyla oturum açma imkanı sunarak adımları azaltır ve kullanıcı rahatlığını artırır.
  • Oturum Açma Sonrası Yerel Biyometrik Koruma Yok: Uygulamanın hassas kişisel verileri işlemediği göz önüne alındığında, Kayak oturum açılmış durum için Face ID veya parmak izi kilidi gibi yerel biyometrik korumaları uygulamamayı seçmiştir. Bu karar, kullanıcılar için sorunsuz bir deneyim sağlarken uygulamanın veri güvenliği ihtiyaçlarıyla uyumludur.

Bu uygulama, geçiş anahtarlarının kimlik doğrulama sürecini nasıl kolaylaştırabileceğini ve parolalara olan ihtiyacı ortadan kaldırarak kullanıcılar için sorunsuz bir deneyim sağlayabileceğini göstermektedir. Ancak, uygulama içinde daha hassas veya kritik eylemlerin gerçekleştirildiği senaryolarda, yerel biyometri gibi ek güvenlik katmanları gerekli olabilir. GitHub'ın kullanılabilirlikten ödün vermeden güvenliği sağlamak için hem geçiş anahtarlarını hem de biyometriyi nasıl kullandığını inceleyelim.

5.2 Uygulama İçeriğini Korumak için Biyometri Kullanımı: GitHub#

GitHub, güvenli oturum açma için geçiş anahtarlarının entegrasyonunu, oturum açılmış durumdaki uygulama içeriğini korumak için yerel biyometri ile dengeler. Geçiş anahtarları, GitHub'ın çok faktörlü kimlik doğrulama (MFA) gereksinimleri göz önüne alındığında özellikle önemli olan hızlı, kimlik avına dayanıklı bir oturum açma seçeneği olarak sunulur. Bu, kullanıcıların parolaları veya tek kullanımlık şifreleri yönetme ihtiyacını ortadan kaldırarak sorunsuz ve güvenli bir oturum açma deneyimi sağlar. Ancak bu makalenin amacı doğrultusunda, onların geçiş anahtarı uygulamasına bakmayacağız.

GitHub'ın Yerel Biyometri ile Ek Güvenlik Katmanı: GitHub, pull request'leri birleştirme gibi hassas işlemler de sunduğundan, kullanıcıların gerekli gördükleri takdirde yerel biyometrik korumayı etkinleştirmelerine olanak tanır. Bu örnekte, iOS'ta uygulamayı kilitlemek için Face ID kullanılır, bu da yalnızca cihaz sahibinin GitHub Uygulamasına erişebilmesini veya çalıştırabilmesini sağlar. Uygulama, biyometriyi etkinleştirmek için işletim sisteminden gerekli ayrıcalıkları açıkça talep eder ve yapılandırılabilir aralıklar (ör. hemen veya tanımlanmış bir zaman aşımından sonra) sunar.

GitHub'ın Yaklaşımının Önemli Noktaları:

  • MFA Uyumluluğu için Geçiş Anahtarıyla Oturum Açma: GitHub, çok faktörlü kimlik doğrulama standartlarından ödün vermeden güvenli oturum açmaları kolaylaştırmak için geçiş anahtarlarından yararlanır.
  • Uygulama Koruması için Biyometrik Kilit: Face ID gibi yerel biyometri kullanarak GitHub, oturum açılmış oturumların kötüye kullanılamamasını veya yetkisiz kişiler tarafından erişilememesini sağlar. Bu ek güvenlik katmanı, hassas kullanıcı verilerini veya eylemlerini işleyen uygulamalar için çok önemlidir.

Bu örnekler birlikte, geçiş anahtarlarının ve yerel biyometrinin farklı uygulamaların ihtiyaçlarına göre nasıl uyarlanabileceğini, kullanıcı rahatlığını uygun güvenlik önlemleriyle dengeleyerek göstermektedir.

6. Öneriler#

Aşağıda, yerel biyometri ve geçiş anahtarlarının uygulanabileceği yaygın senaryolara göre uyarlanmış dört öneri bulunmaktadır. Öneriler, geliştiricilerin, ürün yöneticilerinin ve karar vericilerin hangi yaklaşımın kendi durumlarına en uygun olduğunu hızlıca belirleyebilmeleri için yapılandırılmıştır. Ardından gelen bir özet tablo, her öneriyi belirli bir senaryoyla eşleştirmeyi kolaylaştırır:

  1. Düzenlemeye Tabi, Hassas veya Yüksek Değerli Veri Uygulamaları için: Geçiş Anahtarları + Yerel Biyometri Uygulamanız kritik, kişisel, düzenlemeye tabi veya yüksek hassasiyetli verilerle (ör. finansal, sağlık, devlet, kişisel olarak tanımlanabilir bilgiler) ilgileniyorsa, güvenli, sorunsuz yeniden kimlik doğrulama için yerel biyometri uygulayın. Bu, kullanıcılar oturum açtıktan sonra, hassas özelliklere devam eden erişimin, kimlik bilgilerini yeniden girmeden cihaz üzerindeki faktörlerle (Face ID, Touch ID, parmak izi tarama) korunmasını sağlar. Aynı zamanda bu, geçiş anahtarlarını uygulamak ve MFA gereksinimini tüm cihaz türlerinde zorunlu kılmak için güçlü bir göstergedir. Bu noktada, özellikle büyük ölçekli bir dağıtımdaysanız ve %100 geçiş anahtarı benimsemesine ulaşabileceğinizden emin olmak istiyorsanız Corbado'nun Kurumsal Geçiş Anahtarı Paketi size yardımcı olabilir.
  2. Büyük Ölçekli Tüketici Uygulaması: Tüm Cihazlarda Geçiş Anahtarı Entegrasyonu Hassas alanların dışında bile, kimlik avını önlemek ve parola sıkıntısını ortadan kaldırmak için bir geçiş anahtarı uygulaması mantıklıdır. Bir geçiş anahtarı dağıtımı planlarken, bunun yerel uygulamalar, web arayüzleri ve diğer bağlı uç noktalar dahil olmak üzere tüm cihaz türlerini kapsayan bütünsel bir kimlik doğrulama stratejisinin bir parçası olduğundan emin olun. Geçiş anahtarlarını tek seferlik bir özellik olarak görmeyin; bunun yerine, birleşik ve kullanıcı dostu bir oturum açma deneyimi sağlamak için bunları mobil, masaüstü ve web genelinde tutarlı bir şekilde entegre edin. Geçiş anahtarları zaten web kimlik doğrulamanızın bir parçasıysa, bu işlevselliği yerel uygulamalarınıza genişletmek zorunludur. Bu, hizmetinizin sunulduğu her yerde geçiş anahtarlarının güçlü güvenliğinden ve rahatlığından yararlanarak tüm platformlarda tutarlı, güvenli ve kullanıcı dostu bir oturum açma deneyimi sağlar.
  3. Sıfırdan veya Bağımsız Uygulamalar: Yeni (sıfırdan) uygulamalar veya web'den gelen eski kimlik doğrulama yükü olmayan bağımsız uygulamalar için, başlangıçtan itibaren geçiş anahtarlarıyla başlamayı düşünün. Bunu yaparak, parola sorunlarını ortadan kaldıran ve tüm platformlarda sorunsuz ve güvenli kullanıcı yolculukları için zemin hazırlayan geleceğe dönük bir kimlik doğrulama şeması oluşturursunuz. Corbado Complete çözümümüze bir göz atın.
  4. Çoklu Cihaz Ekosistemleri için Kısmi Uygulamalardan Kaçının: Hizmetiniz birden fazla cihaz türünü (ör. mobil, web ve masaüstü) kapsıyorsa, geçiş anahtarlarını yalnızca bir ortamda sunmayın. Kısmi uygulamalar tutarlılığı azaltır ve kullanıcıların kafasını karıştırabilir. Bunun yerine, her yerde sorunsuz, birleşik bir oturum açma deneyimi sağlamak için geçiş anahtarlarını tek tip olarak benimseyin. Bunları adım adım veya önce en büyük cihaz türlerinde ve ardından yerel uygulamada kullanıma sunmak makuldür, ancak bu kısa bir zaman dilimi içinde yapılmalıdır.

Yukarıdaki öneriler bir dizi yaygın senaryoyu kapsasa da, yerel biyometri, geçiş anahtarları veya her ikisini birden uygulama seçiminin değişebileceği sayısız başka durum vardır. Her uygulamanın kendine özgü güvenlik, kullanılabilirlik ve uyumluluk ihtiyaçları vardır ve geliştiricilerin, ürün yöneticilerinin ve iş liderlerinin bir yaklaşıma karar vermeden önce bu faktörleri kapsamlı bir şekilde değerlendirmesi esastır. Özel kullanım durumlarınızı, yasal gerekliliklerinizi ve kullanıcı beklentilerinizi dikkatlice tartarak, yalnızca kullanıcılarınızı ve verilerini korumakla kalmayıp aynı zamanda günümüz müşterilerinin beklediği sorunsuz, kullanıcı dostu deneyimi sunan bir kimlik doğrulama stratejisi oluşturabilirsiniz.

7. Sonuç#

Gördüğümüz gibi, yerel biyometri ve geçiş anahtarları modern kimlik doğrulama stratejilerinde temelde farklı ancak tamamlayıcı roller üstlenir. Yerel biyometri, kullanıcının doğuştan gelen özelliklerini hızlı, cihaz üzerinde kontroller için kullanarak devam eden oturum doğrulamasını basitleştirirken, geçiş anahtarları uzak hizmetlerle güvenli ve kimlik avına dayanıklı bir güven ilişkisi kurar. Bu yöntemleri düşünceli bir şekilde birleştirerek, geliştiriciler hem sorunsuz hem de son derece güvenli bir kullanıcı deneyimi yaratabilir ve çeşitli ve talepkar bir dijital ortamın ihtiyaçlarını etkili bir şekilde karşılayabilir. Giriş'teki sorulara geri dönersek:

  • Geçiş Anahtarları ve Yerel Biyometri Karşılaştırması: Yerel biyometri ve geçiş anahtarlarının rolleri ve işlevsellikleri açısından nasıl farklılaştığı? Yerel biyometri, zaten kimliği doğrulanmış kullanıcılar için uygun, cihaz merkezli yeniden doğrulama sağlar ve hak sahibinin cihazı sürekli olarak kontrol ettiğinden emin olur. Buna karşılık, geçiş anahtarları parolalar gibi paylaşılan sırların yerini alarak güvenli, ilk uzaktan kimlik doğrulamayı ve kolay cihazlar arası taşınabilirliği mümkün kılar, böylece kimlik avı risklerini ortadan kaldırır ve platformlar ve form faktörleri arasında birleşik bir oturum açma deneyimi sunar.
  • Yerel Biyometri Kullanan Uygulamalara Geçiş Anahtarları Ekleme: Zaten biyometri kullanan uygulamalara geçiş anahtarları eklemek mantıklı mı? Evet, genellikle mantıklıdır. Biyometri tek başına uzak hizmetlerle ilk kullanıcı kimliğini oluşturmazken, geçiş anahtarları bunu yapar. Mevcut yerel biyometrinin yanı sıra geçiş anahtarlarını dahil etmek, kullanıcı rahatlığını korurken genel güvenliği güçlendirebilir. Geçiş anahtarları, kimlik doğrulamanın ve cihazlar arası taşınabilirliğin kritik ilk adımını üstlenirken, biyometri sonraki erişimi ve devam eden oturum doğrulamasını kolaylaştırır.

Geçiş anahtarlarının ve yerel biyometrinin farklı ancak karşılıklı olarak faydalı rollerini tanıyarak, geliştiriciler ve karar vericiler güvenlik, kolaylık ve kullanıcı memnuniyetini dengeleyen kapsamlı bir kimlik doğrulama yaklaşımı uygulayabilirler. Bunu yaparken, uygulamalar tehditlere karşı daha dirençli, gezinmesi daha kolay ve gelişen kullanıcı ve yasal gerekliliklere daha uyarlanabilir hale gelir - sonuçta sorunsuz ve güvenilir bir dijital ortam sunar.

Schedule a call to get your free enterprise passkey assessment.

Talk to a Passkey Expert

Share this article


LinkedInTwitterFacebook

Enjoyed this read?

🤝 Join our Passkeys Community

Share passkeys implementation tips and get support to free the world from passwords.

🚀 Subscribe to Substack

Get the latest news, strategies, and insights about passkeys sent straight to your inbox.

Related Articles