PayPal Geçiş Anahtarları: PayPal Gibi Geçiş Anahtarları Uygulayın

• İlk olarak 2022'nin 4. çeyreğinde ABD'de kullanıma sunuldu ve ardından kademeli olarak farklı ülkelere ve platformlara yayıldı.
• PayPal geçiş anahtarları, daha kolay bir deneyim sunarken PayPal giriş güvenliğini kimlik avı (phishing) ve kimlik bilgisi doldurma (credential stuffing) saldırılarına karşı artırır.
• Şu anda geçiş anahtarları, tamamen şifresiz hesaplar için ilk kayıttan ziyade mevcut hesap girişleri için kullanılmaktadır.
• PayPal geçiş anahtarı kurulumu, hesap ayarlarındaki 'Giriş ve Güvenlik' bölümünden manuel olarak yapılır.
• PayPal, web siteleri ve yerel uygulamaları arasında geçiş anahtarlarını senkronize etme konusunda öncülük etmiş, hem senkronize edilmiş hem de cihaza bağlı geçiş anahtarlarını desteklemiştir (ancak senkronize olan daha yaygındır).
• Küresel olarak akıcı bir deneyim sunarken, Avrupa'daki uygulama PSD2/SCA ile uyumludur ve bazen bir geçiş anahtarı kullanılmasına rağmen ek doğrulama adımları gerektirir (paypal geçiş anahtarı 2fa bağlamı). PayPal, sorunsuz otomatik doldurma girişi için Koşullu Kullanıcı Arayüzü'nden (Conditional UI) yararlanır ve net kullanıcı eğitimi sağlar. Erken başarılar arasında artan giriş oranları ve azalan dolandırıcılık yer alır, bu da PayPal'ı diğer finans kurumlarının takip etmesi için bir lider olarak konumlandırır.

Çok çeşitli sektörlerden giderek daha fazla şirket şifresiz bir dünyaya adım atıyor ve geçiş anahtarlarını uyguluyor. Bu makale serisi aracılığıyla, bu şirketlerin geçiş anahtarı kullanıcı deneyimine kapsamlı bir genel bakış sunmayı amaçlıyoruz. Bu, bu bulguları birleştirmenizi ve ürün girişinizi buna göre geliştirmenizi sağlamalıdır. Her makalede tek bir şirkete odaklanıyoruz. Bugün PayPal'ı inceliyoruz.

Ekim 2022'den bu yana, ABD'deki PayPal kullanıcıları hesapları için geçiş anahtarları oluşturabiliyor ve bu, ödeme sektöründe şifresiz kimlik doğrulamaya yönelik önemli bir adımı işaret ediyor. Bu ilk lansmanın ardından, paypal geçiş anahtarları 2023'ün başlarından itibaren ek ülkelerde de kademeli olarak kullanıma sunuldu. 400 milyondan fazla kullanıcısıyla dünyanın önde gelen dijital ödeme platformlarından biri olan PayPal'ın geçiş anahtarlarını benimsemesi, çevrimiçi ödemeleri ve transferleri daha güvenli ve kullanıcı dostu hale getirme konusundaki güçlü taahhüdünü göstermektedir. PayPal, ödeme alanında erken bir öncü olarak öne çıkıyor ve diğer bankalar ve finans kurumları için olumlu bir örnek teşkil ediyor.

Sorumluluk Reddi:

1. İlk analiz durumu Ağustos 2023'tü. Bu blog yazısı, PayPal'ın geçiş anahtarı uygulamasındaki en son değişiklikleri yansıtmak ve ilk analizden bu yana nelerin değiştiğini belirtmek için Nisan 2025'in sonlarında güncellenmiştir.
2. Analiz için kullanılan cihazları bulmak için lütfen kullanım senaryolarına bakın.
3. Bu son güncellemede (Nisan 2025), ana işletim sistemi ve platform kombinasyonlarına odaklandık ve her bir varyantı ayrıntılı olarak test etmedik.

PayPal'ın geçiş anahtarlarını benimseme kararı, dijital ödeme ortamında geleneksel şifre tabanlı kimlik doğrulamanın doğasında var olan zorluklardan kaynaklanan net bir stratejik zorunluluğa dayanmaktadır.

• Siber Tehditlerle Mücadele: Dijital ödemeler ortamı, kimlik avı (phishing) saldırıları, kimlik bilgisi doldurma (credential stuffing) (çalınan şifre listelerini diğer sitelerde giriş denemek için kullanma) ve hesap ele geçirme (ATO) dolandırıcılığı gibi saldırılarla sürekli olarak karşı karşıyadır. Şifreler, bu yaygın tehditlere karşı savunmasız olan en zayıf halkadır. Belirli web sitesine ve cihaza kriptografik olarak bağlı olan geçiş anahtarlarını benimseyerek, PayPal bu yaygın dolandırıcılık türleri için saldırı yüzeyini büyük ölçüde azaltır.
• Kullanıcı Zorluğunu ve Terk Etmeyi Azaltma: Genellikle karmaşık şifreleri takiben Tek Kullanımlık Şifreler (OTP'ler) veya güvenlik sorularını içeren geleneksel giriş akışları, kullanıcılar için önemli bir zorluk yaratır. Unutulan şifreler sinir bozucu kurtarma süreçlerine yol açar ve çok adımlı kimlik doğrulama, özellikle mobil cihazlarda kullanıcıların işlemleri terk etmesine neden olabilir. Bu zorluk, doğrudan ödeme dönüşüm oranlarını olumsuz etkiler. Geçiş anahtarları, tanıdık biyometrik kimlik doğrulama veya cihaz PIN'i kullanarak akıcı, tek dokunuşla bir giriş deneyimi sunar ve bu sıkıntıları önemli ölçüde azaltır.
• Güvenliği ve Kullanıcı Deneyimini Geliştirme: Temel olarak, PayPal güvenlik ve kolaylık arasındaki uzun süredir devam eden gerilimi çözmeyi amaçlamaktadır. Geçiş anahtarları, aynı anda daha basit ve daha hızlı bir kullanıcı deneyimi sunarken şifrelerden önemli ölçüde daha güçlü güvenlik sağlamanın bir yolunu sunar. Bu ikili fayda, hassas finansal işlemleri yürüten bir platform için kritik öneme sahiptir.
• Sektör Liderliği: Geçiş anahtarı standardının arkasındaki itici güç olan FIDO Alliance'ın kurucu bir üyesi olarak PayPal, sektörü daha güvenli ve kullanıcı dostu kimlik doğrulamaya yönlendirme konusunda kararlıdır. Geçiş anahtarlarını kullanıma sunan ilk büyük ödeme platformlarından biri olmak, bu liderlik konumunu pekiştirir ve rakipler ve ortaklar için bir ölçüt belirler.

Bu temel zorlukları ele alarak ve bir FIDO lideri olarak konumlarını kullanarak PayPal, geçiş anahtarlarını gelecekteki kimlik doğrulama stratejileri için temel bir teknoloji olarak konumlandırdı.

PayPal'ın geçiş anahtarı uygulaması, kullanıcı deneyimini ve güvenliği etkileyen birkaç dikkate değer özellik ve tasarım seçeneği içerir.

PayPal, geçiş anahtarı yolculuğuna aşamalı bir kullanıma sunumla başladı. Kullanılabilirlik ilk olarak 2022'nin 4. çeyreğinde ABD'de, başlangıçta A/B testi yoluyla bir kullanıcı alt kümesi için, öncelikle web sitesine erişen Apple cihazlarına (iOS, iPadOS, macOS) odaklanarak sunuldu. Bu ilk aşama, PayPal'ın geri bildirim toplamasını ve kontrollü bir ortamda potansiyel sorunları belirlemesini sağladı.

Ardışık kullanıma sunumlar 2023'ün başlarında başladı, ABD'deki Android cihazlara (Android 9+) ve daha sonra 2023'ün ortalarında Almanya ve İngiltere gibi önemli Avrupa pazarlarına yayıldı. Bu kademeli genişleme stratejisi, PayPal'ın farklı platformlara ve bölgesel düzenleyici gerekliliklere uyum sağlarken riski en aza indirmesini sağladı. Kullanıma sunum o zamandan beri devam etti ve PayPal, erken benimsemeden elde edilen olumlu sonuçları gerekçe göstererek 2025 boyunca küresel kullanılabilirliği hızlandırmak için aktif olarak çalışıyor.

PayPal'ın uygulamasının önemli bir özelliği, hem Apple hem de Android cihazlar için yerel mobil uygulamaları içinde geçiş anahtarları oluşturma ve kullanma yeteneğidir. Ayrıca PayPal, bir tarayıcı aracılığıyla erişilen web sitesi ile aynı veya farklı cihazlardaki ilgili yerel mobil uygulama arasında geçiş anahtarlarının sorunsuz senkronizasyonunu sağlayan ilk şirketler arasındaydı (iCloud Keychain veya Google Password Manager gibi bulut anahtar zincirleri aracılığıyla).

Bu senkronizasyon, PayPal uygulamasında iPhone'unda bir geçiş anahtarı oluşturan bir kullanıcının, daha sonra aynı geçiş anahtarını MacBook'unda Safari aracılığıyla veya hatta bir Windows PC'de Chrome'da (Google Password Manager aracılığıyla senkronize edilmişse) oturum açmak için kullanabileceği anlamına gelir, tabii ki çapraz cihaz PayPal girişini onaylamak için iPhone'larının yakınında olması koşuluyla. Bu, kullanıcı rahatlığını ve esnekliğini büyük ölçüde artırır. Kullanıcılar ayrıca, potansiyel olarak bir donanım güvenlik anahtarında saklanan cihaza bağlı geçiş anahtarlarını kullanmayı da seçebilirler, ancak senkronize edilmiş geçiş anahtarları, kullanım kolaylığı ve cihaz anahtar zincirleri aracılığıyla kullanılabilirlikleri nedeniyle çoğu kullanıcı için daha yaygın bir yaklaşımdır.

PayPal, PayPal giriş deneyimini önemli ölçüde geliştiren Koşullu Kullanıcı Arayüzünü (Conditional UI) hızla entegre etti. Bir kullanıcı PayPal giriş sayfasına gidip kullanıcı adı giriş alanına tıkladığında, tarayıcının veya işletim sisteminin yerel geçiş anahtarı istemi otomatik olarak görünür ve o site için saklanan geçiş anahtarını önerir.

Bu, kullanıcının kullanıcı adını manuel olarak hatırlama veya yazma ihtiyacını, şifresini bir yana bırakın, ortadan kaldırır. Geçiş anahtarı standardının doğasında bulunan otomatik doldurma özelliklerinden yararlanarak akıcı, neredeyse tek dokunuşla bir giriş deneyimi sağlar. Başından beri kullanıcı rahatlığına odaklanmak, PayPal platformunda geçiş anahtarı benimsenmesini teşvik etmede kilit bir faktör olmuştur.

Hesap ayarları içinde, özellikle 'Giriş ve Güvenlik' bölümünde, PayPal kullanıcılara kayıtlı geçiş anahtarlarının net bir genel görünümünü sunar. Her geçiş anahtarı için, oluşturulduğu cihaz, senkronizasyon durumu (ör. iCloud Keychain aracılığıyla senkronize edilmiş) ve oluşturma zaman damgası gibi ayrıntılar görüntülenir. Bu şeffaflık, kullanıcıların geçiş anahtarlarını yönetmelerine ve bu giriş yöntemini nerede ve ne zaman etkinleştirdiklerini anlamalarına yardımcı olur.

PayPal ayrıca, geçiş anahtarlarının silinmesi konusunda net bir rehberlik sağlar ve tamamen kaydının silinmesi için genellikle hem yerel olarak cihazdan/anahtar zincirinden hem de PayPal sunucusundan kaldırılmaları gerektiğini açıklar.

Geçiş anahtarlarının birçok kullanıcı için yeni bir kavram olduğunun farkında olan PayPal, kullanıcı eğitimine yatırım yapmıştır. Sürekli olarak "geçiş anahtarları" terimini kullanırlar ve kurulum akışı içinde ve özel SSS bölümlerinde ayrıntılı açıklamalar sunarlar. Bu, geçiş anahtarlarının ne olduğu, nasıl çalıştığı, kurulum süreci, senkronizasyon ve silme hakkında bilgileri içerir. Potansiyel kullanıcı sorularını ve endişelerini proaktif olarak ele alarak PayPal, güven oluşturmayı ve bu yeni kimlik doğrulama yönteminin benimsenmesini teşvik etmeyi amaçlamaktadır.

Geçiş anahtarlarının doğru 2 aşamalı silme süreci hakkında daha fazla bilgi sağlayan aşağıdaki ekran görüntüsüne bakın.

• Ara Sıra Platform/Tarayıcı Sınırlamaları (Geçmişte): İlk analizde (Ağustos 2023) belirtildiği gibi, geçiş anahtarları tüm cihaz ve tarayıcı kombinasyonlarında evrensel olarak mevcut değildi. Örneğin, Windows desteği başlangıçta eksikti. Güncelleme Nisan 2025: Bu sınırlama büyük ölçüde giderilmiştir. PayPal geçiş anahtarları artık çoğu büyük işletim sisteminde (iOS, macOS, Android, Windows 10+) ve tarayıcıda (Chrome, Safari, Edge, Firefox) desteklenmekte, bu da kullanılabilirliği ve tutarlılığı önemli ölçüde artırmaktadır.
• Yerel Silme Her Zaman Tanınmıyor: Gözlemlenen küçük bir teknik dezavantaj, bir kullanıcının bir geçiş anahtarını yalnızca yerel cihazından silip PayPal hesap ayarlarından da kaldırmaması durumunda, tek dokunuşla giriş düğmesinin hala görünebilmesi ve potansiyel olarak kullanıcıyı şaşırtmasıdır. Ekranın ideal olarak yerel silmenin ilk tespitinde hemen güncellenmesi gerekir.
• Android'de Gerçek Bir Tanımlayıcı-Önce Akışı Yok (öncelikle Koşullu Arayüz / Tek Dokunuş): Android'de, Koşullu Arayüz kullanmak kullanıcı deneyimi için mükemmel olsa da, PayPal'ın birincil giriş akışı, geçiş anahtarı bulunamazsa zarif bir şekilde düşen geleneksel bir tanımlayıcı-önce akışı sunmak yerine, büyük ölçüde buna veya özel bir geçiş anahtarı düğmesine yönelik görünüyor. Bu, hesap numaralandırmasına karşı koruma sağlarken, o belirli cihazda kayıtlı bir geçiş anahtarı olmayan kullanıcılar için daha sağlam bir uygulama daha net yollar sunabilir. Ayrıca, iOS'ta neden düzgün bir şekilde uygulandığı ve Android'de neden öyle olmadığı belirsizdir.

PayPal'ın geçiş anahtarlarını erken benimsemesi ve kullanıma sunması olumlu sonuçlar verdi ve bu teknolojinin hem güvenlik hem de kullanıcı deneyimi için somut faydalarını gösterdi.

• Artan Giriş Başarı Oranları: İlk raporlar, geleneksel şifre yöntemlerine kıyasla geçiş anahtarlarını tercih eden kullanıcılar için giriş başarı oranlarında önemli bir artış (+%10) olduğunu gösterdi. Bu, şifre girişi ve kurtarma ile ilişkili daha az zorluğu ve daha az hatayı vurgulamaktadır.
• Azaltılmış Hesap Ele Geçirme (ATO) Dolandırıcılığı: Geçiş anahtarları, ATO dolandırıcılığı için birincil vektörler olan kimlik avı (phishing) ve kimlik bilgisi doldurma (credential stuffing) saldırılarına karşı oldukça dirençlidir. PayPal, geçiş anahtarlarını etkinleştiren kullanıcılar için ATO dolandırıcılığı girişimlerinde ve başarılarında önemli bir azalma (%70, 2023'te rapor edildi) bildirdi ve bu da güçlü güvenlik avantajlarını sergiledi.
• Daha Hızlı Ödeme Süreleri: Ödeme işlemi sırasında giriş için geçiş anahtarlarından yararlanan kullanıcılar için, akıcı kimlik doğrulama akışı işlemi tamamlama süresini önemli ölçüde azaltır ve raporlar, ideal senaryolarda ödeme sürelerinin potansiyel olarak yaklaşık 5 saniyeye düştüğünü göstermektedir.

Bu erken KPI'lar, geçiş anahtarları için zorlayıcı iş gerekçesini vurgulamakta, sadece güvenliği artırmakla kalmayıp aynı zamanda dönüşüm ve dolandırıcılığı azaltma gibi kritik iş metriklerini de iyileştirdiklerini kanıtlamaktadır.

Avrupa'da bir banka, ödeme sağlayıcısı veya finansal hizmet kuruluşu olarak geçiş anahtarlarını uygulamak, başta Avrupa Birliği'nin İkinci Ödeme Hizmetleri Direktifi (PSD2) ve onun Güçlü Müşteri Kimlik Doğrulaması (SCA) zorunluluğunun katı gereklilikleri nedeniyle ABD gibi bölgelere kıyasla benzersiz zorluklar sunar.

PSD2, Avrupa Ekonomik Alanı (AEA) ve benzer kuralları benimsemiş olan Birleşik Krallık içindeki elektronik ödemeler için güvenliği artırmayı amaçlamaktadır. Temel taşı, çoğu elektronik ödeme başlatma ve belirli hesap erişim eylemlerinin üç kategoriden en az iki bağımsız faktör kullanılarak doğrulanmasını gerektiren SCA'dır:

• Bilgi: Yalnızca kullanıcının bildiği bir şey (ör. şifre, PIN - ancak statik şifreler tek başına genellikle yetersizdir).
• Sahiplik: Yalnızca kullanıcının sahip olduğu bir şey (ör. güvenilir bir cihaz, bir token, OTP alan bir telefon).
• İçsellik: Kullanıcının kendisi olan bir şey (ör. parmak izi veya yüz tanıma gibi biyometrik veriler).

Ayrıca, uzaktan işlemler için SCA genellikle Dinamik Bağlantı gerektirir, yani kimlik doğrulamanın işlemin tutarı ve alıcısıyla özel olarak bağlantılı olması gerekir.

Senkronize edilmiş geçiş anahtarları teknik olarak SCA gerekliliklerini karşılamak için iyi donanımlıdır. Tek bir geçiş anahtarı kimlik doğrulama eylemi, doğası gereği iki faktörü birleştirir:

• Sahiplik: Kullanıcı, özel anahtarı saklayan cihaza sahiptir.
• İçsellik (veya Bilgi): Kullanıcı, geçiş anahtarı kullanımını yetkilendirmek için bu cihazın kilidini biyometri (İçsellik) veya bir cihaz PIN'i/şifresi (Bilgi) kullanarak açar.

Ancak, düzenleyiciler tarafından senkronize edilmiş geçiş anahtarlarının senkronize doğasının ve sahiplik faktörünün nasıl eşleştiğine dair resmi bir kılavuz bulunmamaktadır. Bu nedenle, birçok Avrupa finansal hizmet kuruluşu bu belirsizlik nedeniyle (henüz) geçiş anahtarlarını kullanıma sunmaktan kaçınmaktadır.

Lütfen PSD2 ve geçiş anahtarları hakkındaki diğer blog yazılarımıza da ayrıntılı okuma için bakın:

• Cihaza Bağlı ve Senkronize Edilmiş Geçiş Anahtarları
• PSD2 ve SCA Gereksinimlerinin Analizi
• SCA Gereksinimlerinin Geçiş Anahtarları için Anlamı
• Geçiş Anahtarları için PSD3 / PSR Etkileri

PayPal'ın Avrupa'daki uygulaması, mevcut SCA uyumluluk altyapısına uyacak şekilde uyarlanmış görünmektedir. ABD'de tek adımlı bir geçiş anahtarı girişi potansiyelinin aksine, Avrupalı kullanıcılar bazen giriş veya hassas eylemler için çok adımlı bir süreç yaşayabilirler:

1. Geçiş Anahtarı ile Kimlik Doğrulama: Bu, şifre girişinin yerini alır ve iki faktörü (Sahiplik + İçsellik / Bilgi) karşılar.
2. Ek Doğrulama (tetiklenirse): Risk değerlendirmesine veya yeni cihazlara, işlem tutarına veya diğer SCA tetikleyicilerine bağlı olarak, PayPal hala ek bir doğrulama adımı gerektirebilir, örneğin:

• SMS ile gönderilen bir OTP girmek.
• PayPal mobil uygulaması aracılığıyla bir anlık bildirimi onaylamak.

Bu, belirli Avrupa senaryolarında, geçiş anahtarının kimlik doğrulama sürecinin bir parçası olarak hareket ettiği, ancak SCA'nın belirli kullanım durumları için nasıl yorumlandığı ve uygulandığına tam olarak uymak için sonraki ayrı bir faktöre olan ihtiyacı her zaman ortadan kaldırmayabileceği anlamına gelir. Bu, geçiş anahtarının tüm kimlik doğrulama olduğu ideal sürtünmesiz deneyimle çelişir.

PayPal, senkronize bir geçiş anahtarının kullanıldığı güvenilir cihazları hatırlamak için yerel depolama veya çerezleri kullanır, bu da sonraki etkileşimlerde bu ek SCA kontrollerinin sıklığını azaltır, ancak ilk veya yüksek riskli girişler genellikle ekstra sahiplik kanıtı gerektirir.

PayPal, bu katmanlı yaklaşımın Avrupa'da diğer bölgelere kıyasla getirdiği potansiyel sürtünmenin farkındadır. Sonuç olarak, SCA kurallarının evrimi için aktif olarak savunuculuk yapmaktadırlar. 2025'in başlarında PayPal, SCA düzenlemelerinin, ayrı bir cihazla etkileşim gerektirmeden (SMS OTP almak gibi) tamamen tek bir cihazda gerçekleştirilebilen kimlik doğrulama yöntemlerini (bir cihazın yerleşik kimlik doğrulayıcısı aracılığıyla kullanılan geçiş anahtarları gibi) teşvik etmesi gerektiğini kamuoyuna tavsiye etti. PayPal buna sonuç odaklı güçlü müşteri kimlik doğrulaması diyor.

Bu savunuculuk, PayPal'ın kullanıcı deneyimini küresel olarak uyumlu hale getirme ve Avrupa düzenleyici çerçevesi içinde geçiş anahtarlarının tam sürtünmeyi azaltma potansiyeline ulaşma stratejik hedefini işaret etmektedir.

PayPal'ın geçiş anahtarlarını, PayPal yerel iOS / Android uygulamasındaki tamamen yerel biyometrik kimlik doğrulamadan ayırmak önemlidir. Geçiş anahtarları genellikle cihazda güvenli bir şekilde saklanan özel anahtarın kullanımını yetkilendirmek için biyometrik kimlik doğrulamaya (Apple cihazlarında Face ID veya Touch ID gibi veya Android'de parmak izi / yüz taraması gibi) dayansa da, geçiş anahtarının kendisi sadece bir biyometrik taramadan daha fazlasıdır.

• Yerel Biyometrik Kimlik Doğrulama: Bu yöntem, kullanıcıyı biyometri kullanarak yerel cihaza veya uygulamaya doğrular. Ancak, bu tek başına kullanıcının kimliğini PayPal gibi bir çevrimiçi hizmete kimlik avına dayanıklı bir şekilde kriptografik olarak doğrulamaz. Sadece cihazı kullanan kişinin meşru sahibi olduğunu kanıtlar.
• PayPal Geçiş Anahtarları: Geçiş anahtarları açık anahtar kriptografisi kullanır. Biyometrik tarama (veya cihaz PIN'i), özel anahtara erişmek için cihazdaki güvenli bölgenin (secure enclave) kilidini açar. Bu özel anahtar daha sonra PayPal sunucusundan gelen bir sınamayı imzalamak için kullanılır ve anahtar çiftinin sahipliğini kanıtlar. Bu kriptografik süreç kimlik avına dayanıklıdır ve kullanıcının kimliğini PayPal'a doğrular.

Bu nedenle, biyometri genellikle bir geçiş anahtarı girişi için kullanıcı dostu bir tetikleyici olsa da, geçiş anahtarının temel teknolojisi, yerel biyometrik kimlik doğrulamanın aksine güçlü, kimlik avına dayanıklı çevrimiçi kimlik doğrulama sağlar.

Daha fazla ayrıntı için geçiş anahtarları ve yerel biyometri hakkındaki blog yazımıza da bakın.

PayPal'ın geçiş anahtarı kimlik doğrulaması, doğrudan PayPal hesap girişleriyle sınırlı değildir. Ayrıca, satıcı web sitelerinde ve uygulamalarında üçüncü taraf ödeme akışlarında PayPal'ın Ödeme Sağlayıcı SDK'sı aracılığıyla da kullanılabilir. Bu, ödeme işleme için PayPal'dan yararlanan satıcıların müşterilerine doğrudan ödeme akışları içinde sorunsuz, güvenli ve şifresiz bir kimlik doğrulama deneyimi sunmalarını sağlar. PayPal'ın SDK'sı aracılığıyla geçiş anahtarlarını kullanmak, ödeme sürecini önemli ölçüde kolaylaştırır, sürtünmeyi azaltır ve kimlik avı risklerini ve kimlik bilgisi doldurma saldırılarını azaltarak güvenliği artırır. Üçüncü taraf bağlamlarında geçiş anahtarlarını uygulama hakkında kapsamlı bir kılavuz ve teknik ayrıntılar için lütfen üçüncü taraf SDK entegrasyonu ile geçiş anahtarları hakkındaki özel makalemize bakın.

PayPal'ın teknik uygulaması, kullanıcı deneyimini kolaylaştırmak için, öncelikle Koşullu Kullanıcı Arayüzü ve özel geçiş anahtarı düğmeleri aracılığıyla modern geçiş anahtarı özelliklerinden yoğun bir şekilde yararlanmaya odaklanmaktadır.

• Koşullu Kullanıcı Arayüzü / Tek Dokunuşla Giriş: Tartışıldığı gibi, PayPal giriş sayfasında Koşullu Kullanıcı Arayüzünü etkinleştirir. Bir kullanıcı kullanıcı adı giriş alanına odaklandığında, tarayıcı/işletim sistemi otomatik olarak geçiş anahtarını bir otomatik doldurma seçeneği olarak sunar ve kullanıcının geçiş anahtarıyla bağlantılı e-postasını gösterir. PayPal ayrıca, özellikle önceden doldurulmuş bir kullanıcı adı olmadığında veya sonraki girişlerde belirgin olan özel bir "Geçiş Anahtarıyla Giriş Yap" düğmesi kullanır. Bu, herhangi bir tanımlayıcı yazmadan bir PayPal girişi sağlar.
• Android'de Geleneksel Tanımlayıcı-Önce Akışı Yok: Android'de, PayPal'ın akışı, bir tane varsa birincil yöntem olarak geçiş anahtarı etrafında tasarlanmış gibi görünüyor. Bir kullanıcının e-postasını yazdığı ve ardından sistemin bir geçiş anahtarı olup olmadığını kontrol ettiği ve hiçbiri bulunamazsa potansiyel olarak bir şifreye geri döndüğü belirgin, açık bir tanımlayıcı-önce akışı yoktur. Bu tasarım, hesap numaralandırmasını (saldırganların geçerli e-posta adreslerini tahmin etmesi) önlemeye yardımcı olsa da, tanımlayıcısını sağlayan ve ardından bir giriş yöntemi seçmesi gereken (veya PayPal'ın durumunda geçiş anahtarlarını kullanamayıp yalnızca bir şifre kullanabilen) kullanıcılar için daha az sezgisel olabilir. iOS için, otomatik geçiş anahtarı girişi başlangıcı ile tanımlayıcı-önce akışı düzgün bir şekilde uygulanmıştır.
• Yerel Uygulama Uygulaması: PayPal yerel uygulamalarında, geçiş anahtarı deneyimi daha da entegredir. Koşullu Kullanıcı Arayüzü genellikle uygulama açıldığında veya giriş ekranına gidildiğinde otomatik olarak tetiklenir, hemen kullanıcının geçiş anahtarıyla ilişkili e-postasını sunar ve biyometrik kimlik doğrulama veya PIN ister.
• Cihaz Hatırlama ve Sonraki SCA: PayPal, özellikle Avrupa'da SCA uyumluluğunu yönetmek için başarılı bir geçiş anahtarı girişinden sonra güvenilir bir cihazı "hatırlamak" için mantık uygular. Bu, yerel depolamaya (çerezler veya uygulama depolaması) dayanır. Kullanıcı depolamayı temizlerse veya "bu cihazı hatırla" özelliğinden açıkça vazgeçerse, o cihazdaki sonraki geçiş anahtarı girişleri ek SCA adımlarını tetikleyebilir.

PayPal, geçiş anahtarlarının ayrıntılı bir açıklamasını sunan ve kullanıcıları kurulum sürecinde yönlendiren kapsamlı bir SSS yayınlamıştır. Bu, herkesin henüz onlarla tanışık olmayabileceği için, kullanıcıları geçiş anahtarlarının arkasındaki teknoloji ve işlevsellik hakkında eğitme ihtiyacını tanıdıklarını yansıtmaktadır.

PayPal hesabınız için yeni geçiş anahtarları kaydetmek için şu adımları izleyin:

1. Sağ üst köşedeki ayarlar simgesine (web tarayıcısı) veya profil simgesine (uygulama) tıklayın
2. Güvenlik (web tarayıcısı) veya Giriş ve güvenlik (uygulama) üzerine tıklayın

3. Geçiş Anahtarı üzerine tıklayın

4. Geçiş Anahtarı Oluştur düğmesine tıklayın

Ağustos 2023 Geçiş Anahtarı Oluşturma Açıklaması

Zamanla, PayPal bir geçiş anahtarı oluştururken mesajlaşmasını ve kullanıcı metnini aşağıdaki şekilde geliştirdi

Nisan 2025 Geçiş Anahtarı Oluşturma Açıklaması

Kullanım senaryolarını yalnızca geçiş anahtarına hazır cihazlarla gerçekleştirdiğimizi unutmayın (ör. iOS 16.0 öncesi iPhone yok, macOS Ventura öncesi MacBook yok, Windows 10 öncesi Windows cihazı yok). Her kullanım senaryosu için aynı PayPal hesabını kullanıyoruz.

PayPal hesabımız için ilk geçiş anahtarını başlangıçta kurmak için, daha önce bölüm 3'te gösterildiği gibi 'Geçiş Anahtarı Oluştur'a tıklarız.

Bu noktada kullanıcının geçiş anahtarlarının ne olduğu hakkında tekrar bilgilendirilmesi dikkat çekicidir. Bu, PayPal'ın henüz geçiş anahtarlarını bilmeyen kullanıcıları eğitmek istediğini göstermektedir.

'Geçiş Anahtarı Oluştur'a tıkladıktan sonra, PayPal kimliğimizin iki faktörlü kimlik doğrulama yoluyla onaylanmasını gerektirir.

Ağustos 2023

Nisan 2025

Bu başarıyla doğrulandıktan sonra, bir geçiş anahtarı oluşturulabilir ve varsayılan Apple geçiş anahtarı açılır penceresi belirir ve bizden Face ID kullanmamızı ister.

Başarıyla kaydedildikten sonra, geçiş anahtarının başarılı bir şekilde oluşturulduğunu onaylayan bir bildirim alırız.

'Giriş ve güvenlik' ayarlarında, şimdi geçiş anahtarı hakkındaki ayrıntıları görüntüleyebilir veya hatta tekrar kaldırabiliriz. Özellikler, geçiş anahtarının oluşturulduğu cihaz ve senkronize edilip edilmediği hakkında bilgileri ve oluşturma için bir zaman damgasını içerir.

Bir geçiş anahtarını silmek isterseniz, PayPal kullanıcılara geçiş anahtarlarının yerel olarak ve sunucu tarafında silinmesi gerektiği konusunda harika bir rehberlik sunar.

Bir geçiş anahtarının zaten saklandığı aynı tarayıcı-işletim sistemi kombinasyonunu kullanırken, PayPal bunu algılar ve 'Geçiş Anahtarı Oluştur' seçeneğini göstermez. Yalnızca geçiş anahtarı cihazdan tekrar kaldırıldıktan sonra yeni bir tane yükleyebilirsiniz.

PayPal iOS uygulamasına giriş yapmak istersek, daha önce bu cihazda oluşturulan geçiş anahtarını kullanırız. Uygulamayı açar açmaz, varsayılan Apple geçiş anahtarı açılır penceresi belirir ve giriş yapmak için Face ID kullanmamızı ister. Kullanıcı adı giriş alanı boşsa, geçiş anahtarı penceresi hemen görünmez, ancak etkinleştirilmiş koşullu kullanıcı arayüzü nedeniyle, alana tıkladığımızda saklanan geçiş anahtarı otomatik olarak önerilir ve önceden doldurulur.

Kimliğimizi Face ID ile doğruladıktan sonra, geçiş anahtarı başarıyla alınır ve hesabımıza erişim sağlar.

Ağustos 2023'te, bir MacBook'ta bir geçiş anahtarı oluşturmak henüz mümkün değildi (bu, Nisan 2025'te düzeltildi). Ancak, Apple Keychain'de senkronize edilmiş olanla giriş yapabildik. Bu kullanım senaryosunda, kullanım senaryosu 1'de iPhone'umuzda kaydettiğimiz geçiş anahtarını aldık.

Tarayıcıda PayPal sayfasına girer girmez, tanıdık Safari geçiş anahtarı açılır penceresiyle karşılaşıyoruz. Burada, kullanım senaryosu 1'den geçiş anahtarını tutan anahtar zincirindeki iPhone'u içeren 'iPhone, iPad veya Android cihazı'nı seçtik.

Geçiş anahtarımızın saklandığı cihazla (bu durumda kullanım senaryosu 1'den) QR kodunu tararız.

iPhone'daki geçiş anahtarıyla giriş yaptıktan sonra, MacBook'umuz için ilk kez kullandığımızda kimliğimizi 2FA ile hala doğrulamamız gerekiyor, ardından PayPal hesabımıza giriş yapıyoruz.

Bu kullanım senaryosunda, PayPal uygulamasını kullanarak bir Android cihazında bir geçiş anahtarı oluşturuyoruz ve bunu Google Password Manager'da saklıyoruz. Android PayPal uygulaması için geçiş anahtarı oluşturma süreci, iPhone PayPal iOS uygulaması için olanla aynıdır, tek fark, geçiş anahtarını Android'de Face ID yerine Android'in biyometrik dokunma yeteneklerini kullanarak oluşturmamız ve bu adımda oluşturulan ana anahtarın saklanacağı Google hesabını belirtmenin mümkün olmasıdır. Parmak izimiz başarıyla kaydedildikten sonra, geçiş anahtarının başarılı bir şekilde oluşturulduğunu onaylayan bir bildirim alırız. Geçiş anahtarı şimdi giriş ve güvenlik ayarlarındaki Geçiş Anahtarları bölümünde görüntülenir.

iPhone'un aksine, Android telefon cihazda zaten bir geçiş anahtarı olduğunu tanımaz ve 'Geçiş Anahtarı Oluştur' seçeneğini göstermeye devam eder. Kullanıcılar daha sonra bir geçiş anahtarı kurmak isterse, PayPal bunu algılar ve yeni bir tane oluşturulmasını ve mevcut bir geçiş anahtarının üzerine yazılmasını önler.

Ayrıca, Ağustos 2023'te, telefon Google Password Manager'da başka bir Android telefon için zaten bir geçiş anahtarı olup olmadığını tanımaz ve ikinci bir geçiş anahtarı oluşturulmasına izin verir. Bu, Nisan 2025'e kadar düzeltilmiştir.

PayPal Android uygulamasına giriş yapmak istersek, daha önce bu cihazda oluşturulan geçiş anahtarını kullanırız. Uygulamayı açar açmaz, varsayılan Android geçiş anahtarı açılır penceresi belirir ve giriş yapmak için Dokunmatik Kimlik kullanmamızı ister. Kullanıcı adı giriş alanı boşsa, geçiş anahtarı penceresi hemen görünmez, ancak etkinleştirilmiş Koşullu Kullanıcı Arayüzü nedeniyle, alana tıkladığımızda saklanan geçiş anahtarı otomatik olarak önerilir ve önceden doldurulur.

Android ve Chrome

Yerel iOS Uygulaması

Kullanıcı adı yazmaya başlarken iOS ve Safari

Sayfa yüklenirken iOS ve Safari

Kimliğimizi Face ID ile doğruladıktan sonra, geçiş anahtarı başarıyla alınır ve hesabımıza erişim sağlar.

PayPal, finansal hizmetler ve ödeme sektörlerinde geçiş anahtarlarının benimsenmesinde açık bir öncü olarak kendini kanıtlamıştır. Erken lansmanları, aşamalı küresel kullanıma sunumları ve Koşullu Kullanıcı Arayüzü gibi temel geçiş anahtarı özelliklerine ve tek dokunuşla geçiş anahtarı girişi deneyimi sunmaya olan bağlılıkları, hem güvenliği hem de kullanıcı deneyimini geliştirmeye yönelik ileri görüşlü bir yaklaşımı göstermektedir.

Geçiş anahtarlarını stratejik olarak şifrelerin yerine konumlandırarak PayPal, kimlik avı ve kimlik bilgisi doldurma gibi yaygın tehditleri doğrudan ele alır ve bu da dolandırıcılığın azalması ve giriş başarı oranlarının artması gibi somut faydalara yol açar. Genellikle sadece hızlı bir biyometrik tarama içeren akıcı PayPal giriş süreci, geleneksel şifre ve OTP akışlarına göre önemli bir kullanılabilirlik iyileştirmesi sunar.

Avrupa'da geçiş anahtarlarının entegrasyonu, PSD2 ve SCA'nın karmaşıklıklarıyla uğraşmayı gerektirse ve bazen ideal geçiş anahtarı deneyiminden farklı çok adımlı kimlik doğrulama akışlarına neden olsa da, PayPal'ın düzenleyici evrim için aktif savunuculuğu, daha uyumlu ve sürtünmesiz bir küresel deneyim elde etme taahhütlerini vurgulamaktadır. Koşullu Kullanıcı Arayüzü ve yerel uygulama entegrasyonuna odaklanan teknik uygulamaları, geçiş anahtarı dağıtımı için en iyi uygulamaları sergilemektedir.

PayPal'ın geçiş anahtarlarıyla olan yolculuğu, diğer bankalar, ödeme sağlayıcıları ve finans kurumları için ilgi çekici bir plan sunmaktadır. Bu modern kimlik doğrulama standardını benimsemenin, yüksek düzeyde düzenlenmiş bir ortamda sadece mümkün olmakla kalmayıp, aynı zamanda önemli güvenlik, iş ve kullanıcı deneyimi avantajları sağladığını göstermektedir. PayPal, 2025 ve sonrasında küresel geçiş anahtarı dağıtımını hızlandırmaya devam ederken, çevrimiçi ödemeler için daha güvenli ve şifresiz bir geleceğin yolunu açıyor. Umarım, birçokları onların izinden gider. Ödemeyle ilgili geçiş anahtarı sorularınız için bizimle iletişime geçmekten çekinmeyin.

PayPal Geçiş Anahtarları nedir?

Paypal geçiş anahtarları, şifreye ihtiyaç duymadan PayPal hesabınıza giriş yapmanın modern ve güvenli bir yoludur. Kriptografi kullanırlar ve cihazınızda (akıllı telefonunuz veya bilgisayarınız gibi) veya bulutla senkronize bir geçiş anahtarı yöneticisinde (iCloud Keychain veya Google Password Manager gibi) güvenli bir şekilde saklanırlar.

PayPal Geçiş Anahtarları güvenliği nasıl artırır?

Paypal geçiş anahtarları kimlik avına karşı dayanıklıdır çünkü belirli PayPal web sitesine bağlıdırlar ve sahte sitelerde çalıştırılamazlar. Ayrıca, özel anahtarınız cihazınızdan asla ayrılmadığı için kimlik bilgisi doldurma ve veri ihlallerine karşı koruma sağlarlar. Bu, geleneksel şifrelerden daha güçlü bir güvenlik sağlar ve SMS OTP'leri gibi daha az güvenli yöntemlerin yerini alarak sağlam bir 2FA biçimi olarak işlev görebilir.

PayPal Geçiş Anahtarı nasıl kurarım?

PayPal web sitesinde veya yerel mobil uygulamada PayPal hesap ayarlarınızdaki "Giriş ve Güvenlik" bölümünden bir geçiş anahtarı kurabilirsiniz. Süreç, kimliğinizi doğrulamayı ve ardından geçiş anahtarını oluşturup kaydetmek için cihazınızın ekran kilidi açma yöntemini (parmak izi veya yüz taraması veya cihaz PIN'i gibi) kullanmayı içerir.

PayPal Geçiş Anahtarlarını birden fazla cihazda kullanabilir miyim?

Evet, cihazlar arasında senkronize olan bir geçiş anahtarı yöneticisi (Apple cihazları için iCloud Keychain veya Android ve Chrome için Google Password Manager gibi) kullanıyorsanız, PayPal geçiş anahtarınız tüm senkronize cihazlarınızda sorunsuz PayPal girişi için kullanılabilir. Bazı durumlarda yakındaki başka bir cihazda girişi onaylamanız gerekebilir.

PayPal Geçiş Anahtarları şifreleri tamamen değiştirir mi?

Bir geçiş anahtarı kurmuş olan kullanıcılar için, şifresiz bir PayPal girişi sağlar. Şu anda, geçiş anahtarları öncelikle mevcut hesaplara giriş yapmak içindir ve başlangıçta bir şifre belirlemeden yeni bir PayPal hesabı için kaydolamazsınız. Ancak, stratejik hedef, geçiş anahtarlarının birincil kimlik doğrulama yöntemi olduğu şifresiz bir geleceğe doğru ilerlemektir.

PayPal Geçiş Anahtarları bir tür 2FA mıdır?

Geçiş anahtarları doğası gereği çok faktörlü kimlik doğrulama sağlar (sahip olduğunuz bir şey - anahtarlı cihaz ve olduğunuz bir şey - biyometri veya bildiğiniz bir şey - cihaz PIN'i). PayPal girişi için kullanıldığında, şifrenin yerini alırlar ve 2FA gereksinimlerini karşılayabilen çok güçlü bir kimlik doğrulama yöntemi olarak hizmet ederler. Avrupa'da, SCA kuralları nedeniyle, bir geçiş anahtarı kullandıktan sonra bile bazen ek bir adım gerekebilir.

PayPal Geçiş Anahtarı olarak fiziksel bir güvenlik anahtarı kullanabilir miyim?

Evet, geçiş anahtarı standardı, geçiş anahtarlarını saklamak için FIDO2 güvenlik anahtarlarının (YubiKeys gibi) kullanılmasını destekler. Ortalama bir kullanıcı için bulutla senkronize edilmiş geçiş anahtarlarına kıyasla daha az yaygın olsa da, bu, donanım destekli bir geçiş anahtarını tercih edenler için desteklenen bir yöntemdir.

PayPal Geçiş Anahtarları ülkemde mevcut mu?

PayPal, 2022'nin sonlarında ABD'de geçiş anahtarlarını kullanıma sunmaya başladı ve 2023'ün ortalarından bu yana Almanya ve İngiltere gibi önemli Avrupa pazarları da dahil olmak üzere diğer ülkelere kademeli olarak genişliyor. PayPal, 2025'te küresel kullanıma sunumu hızlandırıyor. Bölgenizdeki en son kullanılabilirlik için hesap ayarlarınızı veya PayPal'ın yardım merkezini kontrol edin.

PayPal geçiş anahtarım çalışmıyorsa ne yapmalıyım?

PayPal geçiş anahtarınız çalışmıyorsa, önce cihazınızın ve tarayıcınızın uyumluluğunu (Chrome, Safari, Edge, Firefox en son güncellemelerle) onaylayın. Hesap ayarlarınız aracılığıyla geçiş anahtarınızı kaldırmayı ve yeniden eklemeyi deneyin. Önbelleği temizlemek veya tarayıcınızı/cihazınızı yeniden başlatmak da yaygın sorunları çözebilir.

PayPal geçiş anahtarları Avustralya'da mevcut mu?

Evet, PayPal 2024'ün başlarından itibaren Avustralya'da geçiş anahtarı kullanılabilirliğini kademeli olarak genişletti. Avustralyalı kullanıcılar, PayPal hesap ayarlarındaki "Giriş ve Güvenlik" bölümünden geçiş anahtarlarını etkinleştirebilirler. En iyi deneyim için cihazınızın geçiş anahtarlarını desteklediğinden (iOS 16+, Android 9+, macOS Ventura, Windows 10+) emin olun.

Hangi tarayıcılar PayPal geçiş anahtarlarını destekliyor?

PayPal geçiş anahtarları, Chrome, Safari, Edge ve Firefox dahil olmak üzere modern tarayıcılarda geniş çapta desteklenmektedir. Optimum uyumluluk ve güvenlik için tarayıcınızın en son sürüme güncellendiğinden emin olun.

PayPal için geçiş anahtarı girişini nasıl etkinleştiririm?

PayPal geçiş anahtarlarını etkinleştirmek için hesabınıza giriş yapın, "Giriş ve Güvenlik"e gidin, "Geçiş Anahtarları"nı seçin ve cihazınızın yerleşik biyometrik kimlik doğrulamasını veya PIN'ini kullanarak geçiş anahtarınızı oluşturmak ve kaydetmek için talimatları izleyin.

PayPal geçiş anahtarlarını Firefox ile kullanabilir miyim?

Evet, PayPal geçiş anahtarları Firefox'ta desteklenmektedir. Firefox tarayıcınızın en son sürüme güncellendiğinden emin olun. PayPal hesap ayarlarınız aracılığıyla, Firefox'un yerel geçiş anahtarı desteğini kullanarak geçiş anahtarları oluşturabilir ve yönetebilirsiniz.

PayPal geçiş anahtarı QR kod girişi nasıl çalışır?

PayPal'a saklanmış bir geçiş anahtarı olmayan bir cihazdan giriş yaparken, geçiş anahtarınızın bulunduğu bir cihazı kullanarak ekranda görüntülenen bir QR kodunu tarayabilirsiniz. QR kodu, birincil cihazınızda kimlik doğrulamayı tetikler ve şifre girmeden sizi güvenli bir şekilde oturum açtırır.

PayPal geçiş anahtarı İngiltere'de mevcut mu?

Evet, PayPal geçiş anahtarları 2023'ün ortalarından beri İngiltere'de mevcuttur. İngiltere'deki kullanıcılar, PayPal hesap ayarları aracılığıyla geçiş anahtarları kurabilir ve desteklenen cihazlarda güvenli, şifresiz girişlerin keyfini çıkarabilirler.

PayPal'da geçiş anahtarları için YubiKey kullanabilir miyim?

Evet, PayPal, geçiş anahtarı kimlik doğrulaması için YubiKey gibi donanım güvenlik anahtarlarını destekler. YubiKey'inizi PayPal'ın "Giriş ve Güvenlik" altındaki geçiş anahtarı kurulumu aracılığıyla kaydedebilir ve hesabınız için sağlam, donanım destekli güvenlik sağlayabilirsiniz.

Geçiş anahtarlarını kullandıktan sonra neden bir 2FA kodu sağlamam gerekiyor?

Avrupa gibi belirli bölgelerde, PSD2/SCA kapsamındaki düzenleyici gereklilikler, başarılı geçiş anahtarı kimlik doğrulamasından sonra bile ek bir doğrulama adımı gerektirebilir. Bu ek 2FA adımı, uyumluluğu sağlar ve özellikle yeni veya yüksek riskli cihaz girişleri için hesap güvenliğini artırır.