---
url: 'https://www.corbado.com/tr/blog/psd2-ve-passkeys'
title: 'PSD2 ve Passkeys: PSD2 Uyumlu ve Phishing''e Dayanıklı MFA'
description: 'Passkey''ler, PSD2 ve SCA gereklilikleriyle uyumlu, phishing''e dayanıklı en iyi MFA yöntemi mi? Bu blog yazısı tüm soruları yanıtlıyor.'
lang: 'tr'
author: 'Vincent Delitz'
date: '2025-07-15T13:16:53.542Z'
lastModified: '2026-03-27T07:08:35.383Z'
keywords: 'psd2, psd2 uyumlu, sca, passkeys'
category: 'Passkeys Strategy'
---
# PSD2 ve Passkeys: PSD2 Uyumlu ve Phishing'e Dayanıklı MFA
## 1. Giriş
Dijital [bankacılıkta](https://www.corbado.com/passkeys-for-banking) güvenlik ve kullanıcı deneyimi artık
birbiriyle çelişmek zorunda değil.
[Passkey'ler](https://www.corbado.com/tr/blog/tamamen-sifresiz-sisteme-nasil-gecilir), bu iki faktörü
birleştirerek [PSD2](https://www.corbado.com/blog/psd2-passkeys) ve SCA gereklilikleriyle uyumlu,
[phishing](https://www.corbado.com/glossary/phishing)'e dayanıklı bir MFA sunuyor.
[Passkey'ler](https://www.corbado.com/tr/blog/tamamen-sifresiz-sisteme-nasil-gecilir),
[finansal hizmetler](https://www.corbado.com/passkeys-for-banking) genelinde uygulanabilecek en güvenli ve en
kullanıcı dostu [kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api) yöntemidir. Bu
ileriye dönük adım, bankacılık sektörünün Avrupa [bankacılık](https://www.corbado.com/passkeys-for-banking)
sektörünün güvenliğini ve rekabet gücünü artırmak için tasarlanmış bir düzenleyici çerçeve
olan **Revize Edilmiş Ödeme Hizmetleri Direktifi (PSD2)**'ni uygulama mücadelesi verdiği
kritik bir zamanda geliyor.
**Passkey'ler** bu bağlamda sadece bir uyumluluk çözümü olarak değil, aynı zamanda
**PSD2'nin katı gerekliliklerini kullanıcı deneyiminden (UX) ödün vermeden karşılama**
vaadiyle büyük bir inovasyon olarak ortaya çıkıyor. Bu blog yazısında,
[PSD2](https://www.corbado.com/blog/psd2-passkeys)'nin ve **Güçlü Müşteri Kimlik Doğrulaması (SCA)**
zorunluluğunun inceliklerini analiz ediyoruz: Passkey'lerin
[bankacılıkta](https://www.corbado.com/passkeys-for-banking) [phishing](https://www.corbado.com/glossary/phishing)'e dayanıklı MFA'nın
geleceğini temsil ettiği açıkça görülüyor.
## 2. PSD2 Nedir?
[PSD2](https://www.corbado.com/blog/psd2-passkeys), Avrupa Birliği tarafından Avrupa'daki ödeme hizmetleri ve
bankacılık ortamında devrim yaratmak amacıyla sunulan bir yasal düzenlemedir. Temel
**hedefleri, dijital [ödemeler](https://www.corbado.com/passkeys-for-payment) alanında rekabeti artırmak,
tüketiciyi korumak ve inovasyonu teşvik etmektir**. Müşterinin onayıyla **onaylı üçüncü
taraflara** müşteri finansal bilgilerine **açık erişim** zorunluluğu getirerek, PSD2 daha
entegre, verimli ve kullanıcı dostu bir finansal ekosistemin yolunu açar. Ancak, büyük güç
büyük sorumluluk getirir ve PSD2 bu konuyu özellikle **kimlik doğrulama protokolleri**
aracılığıyla **güvenliğe odaklanarak** ele alır.
> PSD2, rekabeti, güvenliği ve inovasyonu artırarak AB
> [ödemelerini](https://www.corbado.com/passkeys-for-payment) dönüştürmeyi amaçlayan bir düzenlemedir.
## 3. SCA Nedir?
PSD2'nin güvenlik önlemlerinin merkezinde, **dolandırıcılığı büyük ölçüde azaltmak ve
elektronik ödemelerin güvenliğini artırmak** için tasarlanmış bir protokol olan Güçlü
Müşteri Kimlik Doğrulaması (SCA) gerekliliği yer alır. SCA, elektronik
[ödemelerin](https://www.corbado.com/passkeys-for-payment) sadece **sorunsuz değil, aynı zamanda çeşitli
tehditlere dayanacak kadar güvenli** olması gerektiği ilkesi üzerine kuruludur. Bu kimlik
doğrulama çerçevesi, PSD2 kapsamında faaliyet gösteren ödeme hizmeti sağlayıcıları,
bankalar ve elektronik ödeme ağ geçitleri için **zorunludur**.
> SCA, Avrupa bankacılık sektöründeki [kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api)
> standardıdır.
### 3.1 SCA'nın Gereklilikleri
PSD2 kapsamındaki SCA uygulaması, birkaç kritik gereklilikle tanımlanır:
#### Çok Faktörlü Kimlik Doğrulama (MFA)
[Kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api), aşağıdaki kategorilerden en az iki
unsuru içermelidir:
- **Bilgi:** Parola veya PIN gibi sadece kullanıcının bildiği bir şey.
- **Sahiplik:** Mobil cihaz, [akıllı kart](https://www.corbado.com/tr/glossary/akilli-kart) veya donanım token'ı
gibi sadece kullanıcının sahip olduğu bir şey.
- **Biyometrik özellik:** Parmak izi, yüz tanıma veya ses desenleri gibi kullanıcıya özgü
biyometrik tanımlayıcılar.
#### Dinamik Bağlama
Her işlem için, işlemin tutar ve alıcının hesap numarası gibi özel ayrıntılarını dinamik
olarak bağlayan benzersiz bir kimlik doğrulama kodu oluşturulmalıdır.
#### Periyodik Yeniden Kimlik Doğrulama
Kullanıcıların online bankacılık hizmetlerine erişimi sürdürmek için genellikle her 90
günde bir yeniden kimlik doğrulaması yapmaları gerekir. Ancak bu gereklilik, güvenlik ve
kolaylık arasındaki dengeyi optimize etmek için revize edilmiştir.
#### İşleme Özgü Kimlik Doğrulama
SCA, tüm elektronik işlemlere uygulanmalı ve kimlik doğrulamanın tutara ve alıcıya özgü
olmasını sağlayarak her işlem için benzersiz bir imza oluşturmalıdır.
#### Risk Bazlı Analiz
Ödeme hizmeti sağlayıcıları, SCA'yı uygulamak için risk bazlı bir yaklaşım kullanmalıdır.
Bu yaklaşımda, daha düşük riskli işlemler, güvenliği tehlikeye atmadan ödeme sürecini
kolaylaştırmak için SCA'dan muaf tutulabilir (burada passkey'lerle olan bağlantıyı
şimdiden fark ettiniz mi?).
#### Denetlenebilirlik
Tüm kimlik doğrulama süreci izlenebilir ve denetlenebilir olmalı, SCA gerekliliklerine
uyumu kanıtlamak için kayıtlar tutulmalıdır.
SCA'yı getirerek, PSD2 bankacılık sektöründeki işlem güvenliği standardını önemli ölçüde
yükseltmiştir. Aşağıda, Çok Faktörlü Kimlik Doğrulama (MFA) ile ilgili farklı faktörlere
odaklanacağız. Bu faktörlerin İşleme Özgü Kimlik Doğrulama gerekliliği üzerinde de etkisi
vardır (daha fazlasını aşağıda okuyun).
### 3.2 Bankacılıkta Kimlik Doğrulamanın Evrimi
Devamında, bankacılık sektöründeki kimlik doğrulamanın farklı evrim aşamalarını sunacağız.
#### 3.2.1 PIN'ler ve TAN'lar (1990'lardan beri)
Bankacılık sektöründeki kimlik doğrulama yolculuğu, **Kişisel Kimlik Numaraları
(PIN'ler)** ve **İşlem Onay Numaraları (TAN'lar)** kullanımıyla başladı. Müşteriler, her
biri işlem doğrulaması için bir kez kullanılacak bir TAN listesi alırdı. Bu yöntem, o
zamanlar devrim niteliğinde olsa da, TAN listelerinin çalınması veya kötüye kullanılması
gibi dezavantajları vardı.
#### 3.2.2 Elektronik ve Mobil TAN'lar (2000'lerden beri)
Teknoloji ilerledikçe, bankalar TAN'ların oluşturulup müşterinin mobil cihazına SMS
yoluyla gönderildiği **elektronik TAN'lar (eTAN'lar)** ve **mobil TAN'lar (mTAN'lar)**'ı
tanıttı. Bu yöntem, TAN'ı cihaza bağlayarak güvenliği artırdı, ancak aynı zamanda **SMS'in
ele geçirilmesi riski** ve bu mesajları bekleyip yönetme **zahmeti** gibi yeni zayıflıklar
da getirdi. Passkey'lerin tanıtımına kadar, SMS OTP'ler hala kullanıcı deneyimi açısından
bankacılık için mevcut en rahat [2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security) seçeneği olarak
kabul ediliyordu.
#### 3.2.3 Akıllı Kartlar ve Token Cihazları (2000'lerden beri)
Güvenliği daha da artırmak için bankalar, kimlik doğrulama için benzersiz kodlar üreten
**akıllı kartlar** ve **token cihazları** benimsedi. Bu donanım tabanlı çözümler daha
yüksek bir güvenlik seviyesi sunuyordu ancak aynı zamanda ek bir cihaz taşımak zorunda
olan müşteriler için **karmaşıklık ve rahatsızlık** da ekliyordu.
#### 3.2.4 Biyometri ve Mobil Bankacılık Uygulamaları (2010'lardan beri)
Bankacılık kimlik doğrulamasındaki en son evrim,
[**biyometri**](https://www.corbado.com/blog/passkeys-biometric-authentication) (parmak izi veya yüz tanıma) ve
yerleşik güvenlik özelliklerine sahip **mobil bankacılık uygulamalarını** içerir. Bu
yöntemler, kullanıcının benzersiz biyolojik özelliklerinden ve akıllı telefonların
yaygınlığından yararlanarak güvenlik ile kolaylığı dengelemeyi amaçladı. Ancak, bunlar
aynı zamanda müşterilerin kullandığı her banka için ayrı ayrı bir uygulama indirme ve
kurma sürecinden geçmesini gerektirir.
| Kimlik Doğrulama Yöntemi | Tür | Açıklama |
| -------------------------------- | --------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Parolalar/PIN'ler | Kullanıcının bildiği bir şey | Kolayca uygulanabilen ve yaygın olarak anlaşılan geleneksel gizli bilgi. |
| SMS OTP (Tek Kullanımlık Parola) | Kullanıcının sahip olduğu bir şey | Kullanıcının telefonuna gönderilen, bir sahiplik faktörünü temsil eden geçici bir parola. |
| Donanım Token'ları | Kullanıcının sahip olduğu bir şey | Kullanıcı için tek kullanımlık bir parola üreten fiziksel cihazlar. Bankanın yerel bir iOS / Android uygulaması gerektirir. |
| Mobil Uygulama OTP'si | Kullanıcının sahip olduğu bir şey | Genellikle cihaz bağlama ile güvence altına alınan bir bankacılık veya kimlik doğrulama uygulaması içinde oluşturulan bir parola. Bankanın yerel bir iOS / Android uygulaması gerektirir. |
| Biyometri | Kullanıcının olduğu bir şey | Genellikle bankanın uygulamasında yerel biyometrik kilit açma (ör. Face ID) olarak parmak izi, yüz tanıma veya iris taramasının kullanılması. Bankanın yerel bir iOS / Android uygulaması gerektirir. |
| Anlık Bildirimler | Kullanıcının sahip olduğu bir şey | Bir mobil uygulama bildirimi aracılığıyla işlemlerin veya giriş denemelerinin onaylanması. Bankanın yerel bir iOS / Android uygulaması gerektirir. |
### 3.3 Mevcut Kimlik Doğrulama Zorlukları ve Müşteri Sıkıntıları
Bu ilerlemelere rağmen, müşteriler mevcut bankacılık kimlik doğrulama yöntemleriyle hala
önemli rahatsızlıklar ve hayal kırıklıkları yaşıyor ve dolandırıcıların hedefi olma
riskiyle karşı karşıya kalıyorlar:
- **Karmaşıklık ve Rahatsızlık:** Birden fazla kimlik doğrulama adımının katmanlanması,
güvenlik için bir artış olsa da, genellikle kullanıcılar için zahmetli bir sürece
dönüşür. Bu karmaşıklık sadece küçük bir rahatsızlık değil; müşterileri dijital
bankacılık hizmetlerini kullanmaktan caydırabilir ve dijital dönüşümün amacını
baltalayabilir.
- **Cihaz ve Platform Bağımlılığı:** Mobil ve biyometrik kimlik doğrulamaya geçiş,
kullanıcıları cihazlarına sıkı sıkıya bağlar. Bu bağımlılık, hırsızlık durumunda
kırılgan bir bağlantı oluşturur. Ayrıca, teknik arızalar bankacılık hizmetlerini
erişilemez hale getirerek müşterileri çaresiz bırakabilir.
- **Phishing Zafiyetleri:** İlerlemelere rağmen, kimlik doğrulama faktörlerinin
[phishing](https://www.corbado.com/glossary/phishing)'e açık olması, SCA tarafından ele alınmayan bir
zafiyettir. PIN, parola, SMS OTP'leri, e-posta OTP'leri gibi geleneksel faktörler,
sofistike phishing şemalarıyla ele geçirilebilir ve müşteri verilerini ve finansmanını
riske atabilir.
Bugüne kadar, özellikle geleneksel bankalar, müşterilerini önemli phishing riski konusunda
uyarmaya devam ediyor.
> En olası saldırı vektörü, kimlik bilgilerinin veya cihazların çalınması değil,
> müşterilerin her ikisini veya ilk kimlik doğrulama faktörünü isteyerek dolandırıcılara
> vermesidir.
Bir sonraki bölümde, bunun gerçek bir örnekle nasıl çalıştığını açıklayacağız.
## 4. Phishing, Bankacılığın En Büyük Güvenlik Sorunudur
Phishing saldırıları, hassas finansal bilgilere yetkisiz erişim sağlamak için insan
psikolojisini (sosyal mühendislik) ve teknolojik zafiyetleri sömürerek uzun süredir
bankacılık sektörünün güvenliği için önemli bir tehdit olmuştur. Bankalar kimlik doğrulama
yöntemlerini geliştirdikçe, dolandırıcılar da güvenlik önlemlerini atlatmak için sofistike
şemalar geliştirerek adapte olmuşlardır. Phishing'in nasıl çalıştığını, özellikle bu
yaygın olarak kullanılan kimlik doğrulama yöntemleri bağlamında anlamak, **passkey'ler
gibi phishing'e karşı dayanıklı kimlik doğrulama çözümlerine olan aciliyeti** fark etmek
için çok önemlidir.
### 4.1 Phishing Saldırılarının Arkasındaki Teori
Özünde phishing, bireyleri bankalarından gelen meşru bir iletişim kisvesi altında giriş
bilgileri veya finansal bilgiler gibi hassas bilgileri ifşa etmeleri için kandırmayı
içerir. Bu genellikle aşağıdaki adımlarla gerçekleştirilir:
1. **Başlatma:** Dolandırıcılar, güvenilir görünen logolar ve dillerle resmi banka
iletişimlerini taklit eden mesajlar (genellikle e-posta veya SMS yoluyla) gönderir. Bu
mesajlar genellikle bir sorunu çözmek veya hesap kapanmasını önlemek için acil eylem
gerektiği iddiasıyla bir aciliyet hissi yaratır.
2. **Aldatma:** Mesaj, bankanın resmi online bankacılık portalına çok benzeyen sahte bir
web sitesine bir bağlantı içerir. Aldatmacadan habersiz olan kurban, bankasının meşru
web sitesine eriştiğine inandırılır.
3. **Ele Geçirme:** Phishing sitesine girdikten sonra, kurbandan PIN'i gibi kimlik
doğrulama bilgilerini girmesi veya SMS ile gönderilen bir OTP ile bir işlemi onaylaması
istenir. Bankasıyla etkileşimde olduğuna inanan kurban, isteğe uyar ve farkında olmadan
kimlik bilgilerini saldırganlara teslim eder.
4. **Sömürü:** Bu bilgilerle donanmış olan dolandırıcılar, kurbanın banka hesabına
erişebilir, yetkisiz işlemler yapabilir veya kimlik hırsızlığı yapabilir.
### 4.2 Gerçek Dünya Örneği: Deutsche Bank Phishing Saldırısı
Bir Deutsche Bank müşterisinin hesabının devre dışı bırakılacağı konusunda uyaran bir SMS
aldığını düşünün. Mesaj, müşterinin kimliğini doğrulamak için bir web sitesine bağlantı
içerir ve URL'de deutschebank kelimesi ile eşleşen bir SSL sertifikası bulunur. Bu site,
Deutsche Bank'ın giriş sayfasının birebir kopyasıdır (aşağıdaki ekran görüntülerinde
görebileceğiniz gibi) ve müşteriden online bankacılık PIN'ini ve ardından gerçek zamanlı
olarak bir SMS OTP'si girmesini ister (güvenlik nedenleriyle ekran görüntülerinde
görünmez). Müşteri, bu bilgileri phishing sitesine girmenin, saldırganların Deutsche Bank
hesabına tam erişim sağlamasına ve potansiyel olarak büyük meblağlarda parayı başka
hesaplara transfer etmesine olanak tanıdığından habersizdir.
Bu, banka hesabına yeniden erişim sağlama istemiyle gelen phishing SMS'idir (yalnızca
Almanca ekran görüntüleri mevcuttur):
Bu, saldırganların phishing web sitesidir
([https://deutschebank-hilfe.info](https://deutschebank-hilfe.info)):
Bu, saldırganların neredeyse mükemmel bir şekilde kopyaladığı orijinal web sitesidir
([https://meine.deutsche-bank.de](https://meine.deutsche-bank.de)) (sadece alttaki
phishing uyarısını dışarıda bırakmışlar):
Bu aynı kullanıcı arayüzü üzerinden giriş yapmaya ve kimlik doğrulama faktörü olarak SMS
OTP kullanmaya alışkın olan müşteriler, bu tür saldırıların kolayca kurbanı olabilirler.
Güvenlik araştırma amacıyla OAuth veya bankacılık sistemlerini hedef alan phishing
saldırılarına odaklanmak için tasarlanmış önemli bir açık kaynaklı yazılım paketi
ekosistemi bulunmaktadır (örneğin,
[https://github.com/gophish/gophish](https://github.com/gophish/gophish)). Ancak, bu
sistemler kötü niyetli amaçlar için kolayca uyarlanabilir.
**Bankacılık sektöründeki phishing, karanlık ağdaki her veri sızıntısıyla daha da hassas
hale geliyor.** Genellikle, IBAN gibi ödeme bilgileri de bu sızıntıların bir parçasıdır.
Bu bilgiler doğrudan para çalmak için kullanılamasa da, saldırganın hedefin gerçekten
bankanın bir müşterisi olduğunu bildiği hedefli phishing (spear-phishing) yaklaşımlarında
kullanılabilir.
### 4.3 Phishing'e Karşı Dayanıklı Kimlik Doğrulama Faktörlerinin Önemi
Yukarıdaki senaryodaki kritik kusur, kimlik doğrulama faktörlerinin phishing'e açık
olmasında yatmaktadır: **hem PIN hem de SMS OTP, sahte bahanelerle müşteriden kolayca
istenebilir.** Bu zafiyet, sosyal mühendislik veya phishing saldırıları yoluyla ele
geçirilemeyen kimlik doğrulama yöntemlerinin gerekliliğini vurgulamaktadır.
**Passkey'ler tarafından sağlananlar gibi phishing'e karşı dayanıklı kimlik doğrulama
faktörleri**, bu tür şemalara karşı sağlam bir savunma sunar.
[Passkey'ler](https://www.corbado.com/tr/blog/tamamen-sifresiz-sisteme-nasil-gecilir), ifşa edilebilecek, bir
kullanıcıdan kandırılarak alınabilecek veya ele geçirilebilecek paylaşılan sırlara
dayanmadığından, güvenlik ortamını temelden değiştirirler. Passkey'ler ile kimlik
doğrulama süreci, dolandırıcılar tarafından kopyalanamayan kriptografik bir kimlik kanıtı
içerir ve bu da phishing'deki en yaygın saldırı vektörünü ortadan kaldırır.
> Passkey'lerin kullanımı, yalnızca kaydedildikleri alan adıyla sınırlıdır
> ([relying party](https://www.corbado.com/glossary/relying-party) ID). Bunları bir phishing alan adında
> kullanmak veya bir saldırgana göndermek teknik olarak imkansızdır.
### 4.4 Phishing ile Nasıl Mücadele Edilir?
Phishing tehditlerine etkili bir şekilde karşı koymak için, bankacılık sektörü
aşağıdakileri içeren çok yönlü bir yaklaşım benimsemelidir:
1. **Müşterileri Eğitmek:** Bankalar, müşterilerini sürekli olarak phishing riskleri ve
sahte iletişimi nasıl tanıyacakları konusunda bilgilendirmelidir.
2. **Phishing'e Karşı Dayanıklı Kimlik Doğrulama Uygulamak:** İstenerek veya ele
geçirilerek alınabilecek bilgilere dayanmayan kimlik doğrulama yöntemlerine geçiş
yapmak, böylece birçok phishing girişiminin kapısını kapatmak.
3. **Dolandırıcılık Tespit Sistemlerini Geliştirmek:** Dolandırıcılar bir tür kimlik
doğrulama verisi elde etse bile, yetkisiz işlemleri tespit etmek ve önlemek için
gelişmiş analitik ve makine öğrenimi kullanmak.
Phishing, bankacılık sektörü için önemli bir tehdit olmaya devam etse de, passkey'ler gibi
phishing'e karşı dayanıklı kimlik doğrulama yöntemlerinin benimsenmesi, online bankacılığı
dolandırıcılara karşı güvence altına almada kritik bir adımı temsil etmektedir. **En zayıf
halkayı, yani kimlik doğrulama faktörlerinin phishing'e açıklığını ortadan kaldırarak,
bankalar müşterilerinin varlıklarının ve kişisel bilgilerinin güvenliğini önemli ölçüde
artırabilir.**
Bugüne kadar, Avrupa Merkez Bankası ve yerel bankacılık denetim otoriteleri (örneğin,
BaFin),
[passkey'lerin bir bütün olarak 2FA olarak sınıflandırılıp sınıflandırılmayacağı](https://www.corbado.com/blog/psd2-passkeys/are-passkeys-two-factor-authentication)
veya bankaların bunları nasıl kullanması gerektiği konusunda bir tutum sergilememiştir.
Bir sonraki bölümde, passkey'lerin neden PSD2 uyumlu olduğuna inandığımızı açıklamayı
amaçlıyoruz.
## 5. Passkey'ler PSD2 Uyumlu mu?
Ödeme, fintech ve bankacılık sektörlerinden paydaşlarla yapılan görüşmelerde tekrarlanan
bir soru ortaya çıkıyor: **Passkey'ler PSD2 uyumlu mu ve bankacılık senaryolarında tek
kimlik doğrulama şekli olarak hizmet edebilirler mi?** Passkey'ler ile Avrupa
Birliği'ndeki Revize Edilmiş Ödeme Hizmetleri Direktifi (PSD2) arasındaki ilişki
inceliklidir ve ayrıntılı bir inceleme gerektirir. Açıklamak gerekirse, passkey'ler
genellikle iki türe ayrılır: **Senkronize Passkey'ler (Çoklu Cihaz)** ve **Senkronize
Olmayan Passkey'ler (Tek Cihaz)**, her birinin PSD2 uyumluluğu konusunda farklı
özellikleri vardır:
| | Senkronize Passkey'ler | Senkronize Olmayan Passkey'ler |
| -------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------ |
| **Cihaz kullanılabilirliği** | Çoklu Cihaz | Tek Cihaz |
| **Yöneten** | İşletim Sistemi | Ek yazılım gerekli |
| **Özel Anahtar** | İşletim sistemi bulut hesabına yüklenir
(ör. iCloud Keychain, Google Password Manager) veya 3. taraf parola yöneticisi
(ör. 1Password, Dashlane) | Kullanıcının cihazında kalır |
| **Cihaz Bağlama** | Hayır | Evet |
| **Yedeklenmiş** | Evet | Hayır |
| **PSD2 Uyumluluğu Üzerine Geleneksel Görüş** | Hayır (?) | Evet |
Uyumluluğa bağlı kalmak, bankalar ve [sigorta](https://www.corbado.com/passkeys-for-insurance) şirketleri gibi
düzenlemeye tabi kuruluşlar için çok önemlidir. Ancak, uyumluluk politikalarının değişmesi
uzun zaman alabilir. Passkey'ler söz konusu olduğunda, **en büyük güvenlik avantajı
phishing'e karşı dayanıklı olmalarıdır,** çünkü müşteriler bu bilgiyi istemeden
saldırganlara ifşa edemezler.
## 6. Senkronize Passkey'ler Neden Risk Değildir?
Passkey'ler phishing'e karşı dayanıklı olarak güvenliği önemli ölçüde artırırken, riskin
bir kısmını müşterinin Apple [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) gibi bulut
hesabına kaydırırlar. Bu, bulut hesabını saldırganlar için daha çekici bir hedef haline
getirir. Ancak, **Apple iCloud gibi hizmetler, özellikle passkey'leri destekleyen
özellikler için sağlam güvenlik önlemlerine sahiptir**.
İlk olarak, iCloud passkey'leri, hesabınızda
[iki faktörlü kimlik doğrulamanın (2FA)](https://www.corbado.com/blog/psd2-passkeys/are-passkeys-two-factor-authentication)
etkinleştirilmesine bağlıdır ve bu da ek bir güvenlik katmanı ekler. Bu, bir saldırgan
müşterinin iCloud şifresini bilse bile, [2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security) kodunu almak
için hala güvenilir bir cihaza veya telefon numarasına erişmesi gerekeceği anlamına gelir.
Apple ve benzer şekilde Google, hesapları için bu bulut hizmetlerini güvence altına almak
için önemli kaynaklar yatırır. Bulutta passkey'leri destekleyen hesaplar için güvenlik
protokolleri titizdir ve **yetkisiz kullanıcıların sızmasını neredeyse imkansız hale
getirir**. Bu yüksek güvenlik standardı, sürekli güncellemeler ve güvenlik yamaları ile
korunur (ve ayrıca hesapları için passkey'leri tanıttılar, bkz. bu blog yazısı).
Üstelik, cihazların veya bulut hesaplarının çalınması potansiyel bir risk olsa da,
bankacılık uygulamaları için en yaygın saldırı vektörü değildir. Şüpheli işlemler gibi
artan güvenlik ihtiyaçları durumunda, bankalar ek bir faktör olarak SMS OTP'lerini
kullanmaya devam edebilir. **PIN / parolayı passkey'lerle değiştirerek**, ilk kimlik
doğrulama faktörü phishing'e karşı dayanıklı hale gelir ve başarılı phishing saldırıları
riskini önemli ölçüde azaltır. Şüpheli olarak işaretlenen işlemler için **üçüncü bir
faktör** getirilebilir ve bu da sağlam bir güvenlik duruşu sağlar.
> Saldırı yüzeyi değişse de, **genel güvenlik duruşu güçlenir**, bu da passkey'leri,
> müşteri güvenliğini kullanılabilirlikten ödün vermeden artırmak isteyen bankalar ve
> [sigorta](https://www.corbado.com/passkeys-for-insurance) şirketleri gibi düzenlemeye tabi kuruluşlar için
> cazip bir seçenek haline getirir.
## 7. Neo-Bankalar Regülatörleri Nasıl Zorluyor?
PSD2 uyumluluğu konusundaki geleneksel (riskten kaçınan) görüşlerin aksine,
[Finom](https://www.corbado.com/blog/finom-passkeys) ve [Revolut](https://www.corbado.com/blog/revolut-passkeys), **müşteri verilerini
korumanın daha önemli olduğuna** karar verdiler ve bu nedenle, bankacılık denetiminin
passkey'leri PSD2 uyumluluğu açısından nasıl ele alması gerektiğine dair kamuya açık bir
Avrupa kararı olmamasına rağmen passkey'leri kullanıyorlar. [Finom](https://www.corbado.com/blog/finom-passkeys)
ve [Revolut](https://www.corbado.com/blog/revolut-passkeys) gibi neo-bankalar ve fintech'ler statükoya meydan
okuyor ve bunu yaparken, PSD2 tarafından öngörülen kimlik doğrulama önlemleriyle ilgili
düzenleyici ortamı etkiliyorlar.
Bu fintech öncüleri, müşteri verilerinin güvenliğini ve bütünlüğünü önceliklendirerek,
Avrupa otoritelerinden açık bir düzenleyici rehberlik olmamasına rağmen passkey'leri
benimsiyorlar. Bu proaktif duruş, **üstün güvenlik çözümleri sunan teknolojik gelişmeler
ışığında uyumluluk çerçevelerini yeniden değerlendirme sorumluluğunu regülatörlere
yüklüyor**.
[Finom](https://www.corbado.com/blog/finom-passkeys) ve [Revolut](https://www.corbado.com/blog/revolut-passkeys)'un passkey'leri
uygulama konusundaki cesur adımı, düzenleyici uyumun kritik bir yönünü vurguluyor: bu,
standartlara katı bir şekilde bağlı kalmakla ilgili değil, daha ziyade bu standartların
altında yatan hedeflere ulaşmakla ilgilidir ki bu durumda bu hedef, **müşteri verilerinin
ve işlemlerinin azami güvenliğidir**. Veri korumasını geleneksel uyumluluk modellerine
sıkı sıkıya bağlı kalmaktan daha öncelikli tutarak, bu neo-bankalar sektör için yeni
ölçütler belirliyor.
> Regülatörleri zorlayarak, bu neo-bankalar, uyumun tüketici çıkarlarını daha etkili bir
> şekilde koruyan yeni teknolojilerle eş zamanlı olarak gelişmesi gereken bir paradigma
> değişikliğini savunuyorlar.
## 8. Hangi Düzenleyici Değişiklikler Gereklidir?
Düzenleyici bir perspektiften bakıldığında, PSD2 uyumluluğu çerçevesinde passkey'ler gibi
ilerlemeleri barındırmak için netlik ve adaptasyona acil bir ihtiyaç vardır. **AB'yi,
passkey'ler konusunda kesin bir tavır almaya çağırıyoruz,** onları dijital ödemeler
ekosisteminde güvenliği güçlendirmek ve dolandırıcılığı azaltmak olan PSD2'nin temel
hedefleriyle uyumlu, üstün bir çok faktörlü kimlik doğrulama (MFA) biçimi olarak
tanımalarını istiyoruz.
**Passkey'ler, tasarımları gereği, çoğu geleneksel MFA yönteminin güvenlik yeteneklerini
aşan, sağlam, phishing'e dayanıklı bir kimlik doğrulama faktörü sunar.** Bu, sadece
güvenliği artırmakla kalmaz, aynı zamanda kullanıcı deneyimini de basitleştirir ve PSD2
uyumluluğunun iki kritik yönünü ele alır.
AB'nin tutumu, etkili ve güvenli kimlik doğrulamanın ne anlama geldiğini yeniden
tanımlayan teknolojik gelişmeleri yansıtacak şekilde gelişmelidir. Passkey'ler gibi
yenilikleri benimseyerek ve bunları düzenleyici yapıya dahil ederek, AB hem tüketicileri
koruma hem de ileriye dönük bir dijital finans ortamını teşvik etme taahhüdünü
gösterebilir.
Finans sektörü yenilik yapmaya devam ettikçe, teknolojik değişimle sadece ayak uydurmakla
kalmayıp aynı zamanda gelecekteki gelişmeleri de öngören açık ve ilerici bir rehberlik
sağlamak regülatörlerin görevidir. Neo-bankalar şu anda bu değişime öncülük ediyor, ancak
nihayetinde finans sektörünün bir bütün olarak dijital bankacılığın geleceğine güvenli ve
emin adımlarla ilerleyebilmesini sağlamak düzenleyici kurumların sorumluluğundadır.
## 9. Bankalar ve Fintech'ler için Tavsiye
Bankacılık ve fintech alanında passkey'lerin benimsenmesi, hem güvenliği hem de kullanıcı
deneyimini önemli ölçüde artıran bir inovasyonun en iyi örneği olarak öne çıkıyor.
Makalemiz boyunca, passkey'lerin PSD2'nin katı güvenlik talepleriyle uyumlu, phishing gibi
yaygın tehditleri azaltan ileri görüşlü bir kimlik doğrulama çözümü olarak potansiyelini
ortaya koyduk. Finom ve Revolut gibi neo-bankalar / fintech'ler, güvenlik çerçevelerine
_passkey'leri entegre ederek bir emsal oluşturdular_, etkinliklerini ve müşteri odaklı
yaklaşımlarını gösterdiler.
Geleneksel bankalar için üç adımlı bir eylem planı şu şekilde olabilir:
1. **Yerel Regülatörlerle Etkileşim:** Geleneksel bankalar, passkey'lerin uygulanmasını
tartışmak için yerel düzenleyici kurumları ve bankacılık denetim otoriteleriyle
proaktif olarak etkileşime girmelidir. Bu diyalog, düzenleyici pozisyonları
netleştirmeyi ve passkey'leri mevcut uyumluluk yapısı içinde entegre etmenin yolunu
açmayı amaçlamalıdır. İnisiyatif alarak, bankalar yenilikçi kimlik doğrulama
yöntemlerini destekleyen bir düzenleyici ortamın şekillenmesine katkıda bulunabilirler.
2. **Neo-Banka En İyi Uygulamalarından Öğrenme:** Geleneksel bankaların, passkey'leri
başarıyla uygulayan neo-bankaları gözlemlemesi ve onlardan öğrenmesi zorunludur. Bu en
iyi uygulamaları incelemek, passkey dağıtımının operasyonel, teknik ve müşteri
hizmetleri yönleri hakkında değerli bilgiler sağlayacaktır. Bu bilgi transferi,
geleneksel bankaların passkey'leri benimseme stratejilerini oluşturmalarına yardımcı
olabilir.
3. **Passkey'lere Stratejik Geçiş:** Düzenleyici netlik ve en iyi uygulamaların
anlaşılmasıyla, geleneksel bankalar müşterileri passkey tabanlı kimlik doğrulamasına
geçirmek için kapsamlı bir plan geliştirebilirler. Bu plan, passkey'lerin faydalarını
ve kullanımını açıklayan müşteri [eğitim](https://www.corbado.com/tr/blog/react-express-mysql-crud-uygulamasi)
kampanyalarını, sorunsuz bir geçiş sağlamak için aşamalı dağıtımları ve herhangi bir
zorluğu derhal ele almak için sürekli değerlendirmeyi içermelidir.
## 10. Sonuç
Bankacılık kimlik doğrulamasının geleceği, hem güvenliği hem de kullanılabilirliği
önceliklendiren teknolojilerde yatmaktadır. **Passkey'ler**, bu yönde atılmış bir adımı
temsil eder ve PSD2 ve diğer düzenleyici çerçeveler tarafından belirlenen standartları
karşılayan, **phishing'e karşı dayanıklı, kullanıcı dostu bir kimlik doğrulama** yöntemi
sunar.
Geleneksel bankalar için, değişimi benimseme ve passkey'lere doğru geçişe başlama zamanı
gelmiştir. Ancak bu geçiş, ani olmamalı, aksine müşteri tabanlarının benzersiz
ihtiyaçları, özel düzenleyici ortam ve kurumun teknolojik hazırlığı dikkate alınarak iyi
düşünülmüş bir hamle olmalıdır.
Nihai hedef, her müşterinin kolaylıktan ödün vermeden gelişmiş güvenlikten faydalanmasını
sağlamaktır. Passkey'leri benimseyerek, bankalar sadece müşterilerini en son teknolojiyle
korumakla kalmayacak, aynı zamanda dijital finans çağında inovasyona ve müşteri odaklılığa
olan bağlılıklarını da göstereceklerdir.