Get your free and exclusive +45-page Authentication Analytics Whitepaper
Genel bakışa dön

Yerel Uygulama Geçiş Anahtarları için Parola Yöneticisi Testi

1Password, Bitwarden ve daha fazlası ile yerel iOS/Android uygulamalarında geçiş anahtarlarını test etmek için kapsamlı rehber. Test planları, yaygın sorunlar ve üretime hazır stratejiler.

Vincent Delitz
Vincent Delitz

Oluşturuldu: 24 Eylül 2025

Güncellendi: 4 Temmuz 2026

Yerel Uygulama Geçiş Anahtarları için Parola Yöneticisi Testi

Bu sayfa otomatik olarak çevrildi. Orijinal İngilizce sürümü buradan okuyun.

WhitepaperEnterprise Icon

Kurumsal Passkey Whitepaper. Passkey programları için pratik rehberler, geçiş kalıpları ve KPI'lar.

Whitepaper al
Önemli bilgiler
  • iOS 17 ve Android 14, üçüncü taraf parola yöneticilerinin yerel uygulamalarda geçiş anahtarı sağlayıcısı olarak hareket etmesini ilk kez mümkün kılarak sistematik sağlayıcılar arası testi zorunlu hale getirdi.
  • Kullanıcıların yalnızca %5-10'u üçüncü taraf parola yöneticilerine güveniyor, ancak bu durum büyük ölçekli dağıtımlarda orantısız sayıda destek talebi oluşturuyor.
  • Beş ana hedef (1Password, Bitwarden, Dashlane, Proton Pass ve NordPass), AB/ABD/Birleşik Krallık/Avustralya/Yeni Zelanda'daki üçüncü taraf parola yöneticisi kullanıcılarının %85'ini kapsıyor.
  • Bazı üçüncü taraf parola yöneticileri tarafından BE/BS bayrağının yanlış yapılandırılması, üretimdeki geçiş anahtarı senkronizasyon hatalarının büyük bir bölümünü oluşturuyor.
  • Android launchMode singleInstance, Credential Manager'ın ayrı bir görev olarak açılmasına neden olur; singleTask'e geçmek, OEM'ler genelindeki yaşam döngüsü hatalarını önler.

1. Giriş: Yerel Uygulama Geçiş Anahtarları Üçüncü Taraf Parola Yöneticileri ile Buluşuyor#

iOS 17 ve Android 14'ün piyasaya sürülmesiyle, yerel mobil uygulamalar için geçiş anahtarı ortamı temelden değişti. İlk kez, üçüncü taraf parola yöneticileri geçiş anahtarı sağlayıcısı olarak hareket edebiliyor ve iCloud Keychain ile Google Password Manager'ın özel hakimiyetini kırıyor. Bu, kullanıcıların 1Password, Bitwarden veya Dashlane gibi kendi güvendikleri çözümleri yerel uygulama kimlik doğrulama akışlarına getirmelerine olanak tanıyor. Bu durum, kullanıcı seçimi açısından büyük bir kazanç olsa da, geliştiriciler için önemli bir karmaşıklık sunuyor. Geçiş anahtarı uygulamanız, yerel mobil uygulamalardaki farklı parola yöneticilerinde farklı davranabilir. Bu nedenle, herhangi bir ekibin yerel uygulama geçiş anahtarlarını ve 3. taraf parola yöneticilerini düzgün bir şekilde test etmesi önemlidir.

Bu kapsamlı rehber, üçüncü taraf parola yöneticileri ile yerel uygulama geçiş anahtarı testine yönelik savaşta test edilmiş yaklaşımımızı paylaşıyor. Geçiş anahtarı ekosistemi 2025'te önemli ölçüde olgunlaşmış olsa da, gerçek dünya uygulaması hala çeşitli parola yöneticisi uygulamaları arasında dikkatli bir doğrulama gerektiriyor. Deneyimlerimizi, yerel uygulamanızın kullanıcıların tercih ettiği parola yöneticileriyle sorunsuz çalışmasını sağlayan pratik bir test planına dönüştürdük.

PasskeysCheatsheet Icon

Passkeys Cheat Sheet. Passkey programları için pratik rehberler, geçiş kalıpları ve KPI'lar.

Cheat sheet al

2. Üretimde Geçiş Anahtarı Testi Neden Önemlidir?#

2.1 Kullanıcılar Kendi Parola Yöneticilerini Getiriyor#

Parola yöneticisi ekosistemi, platforma özgü çözümlerin ötesine geçti. Kullanıcılar, platformlar arası senkronizasyon, kurumsal özellikler veya gizlilik tercihleri gibi belirli ihtiyaçlarına göre 1Password, Bitwarden, Dashlane, Proton Pass ve NordPass gibi üçüncü taraf parola yöneticilerini aktif olarak seçiyorlar. Yerel iOS / Android uygulamanız, kullanıcıları güvendikleri parola yönetimi çözümünü değiştirmeye zorlamadan bu çeşitliliğe uyum sağlamalıdır.

Corbado sayfalarında ölçtüğümüz verilere göre, genel kullanıcıların yalnızca %5-10'unun üçüncü taraf parola yöneticilerine güvendiğini görüyoruz. Bu sayı kulağa düşük gelse de, büyük ölçekli bir ortamda çalışıyorsanız geçiş anahtarı uygulamanızın algısı ve destek biletlerinin sayısı üzerinde büyük bir etkiye sahip olacaktır. Bazı parola yöneticilerinin WebAuthn spesifikasyonunu biraz farklı uyguladığını ve bunun kullanıcı deneyiminde ince farklılıklara veya hatta hatalara yol açtığını gördük.

2.2 Yerel Uygulamalarda Farklı UX Modelleri#

Yerel iOS ve Android uygulamaları, geçiş anahtarı kullanımı için farklı yollar sunar. Android'de, geçiş anahtarı seremonisini tetikleyen geçiş anahtarı katmanlarıyla (overlay) ve manuel metin alanı girişleriyle karşılaşırsınız (web uygulamaları için Android, Conditional UI'ı da destekler). iOS, Conditional UI'ın yanı sıra manuel metin alanı girişleriyle birlikte kendi geçiş anahtarı katman setini sunar. Ayrıca, kontrol edilmesi gereken başka uç durumlar da vardır. Sonuç olarak, yerel uygulamanız aşağıdakileri sorunsuz bir şekilde ele almalıdır:

  • Sayfa yüklendiğinde hemen görünen geçiş anahtarı katmanı girişleri
  • Kullanılabilir geçiş anahtarlarını otomatik olarak öneren Conditional UI girişleri (yalnızca iOS)
  • Kullanıcının bir düğmeye tıklamadan önce kullanıcı adını sağladığı metin alanı girişleri
  • Başka bir cihazla geçiş anahtarı kullanımı için cihazlar arası kimlik doğrulama (CDA)
  • Geçiş anahtarı kullanımı mevcut olmadığında geri dönüş (fallback) mekanizmaları

2.3 WebAuthn Bayrakları Hassasiyet Gerektirir#

Doğru bayrak yapılandırması, geçiş anahtarlarının cihazlar ve platformlar arasında beklendiği gibi çalışıp çalışmadığını belirler. Kritik değerler şunları içerir:

  • Relying Party ID (rpID): Web ve yerel uygulamalar arasında tam olarak eşleşmelidir ve geçiş anahtarının bağlı olduğu alandır
  • Kullanıcı doğrulaması (User verification): Kullanıcının yerel kimlik doğrulamasını sağlaması gerektiğini belirler
  • Yerleşik anahtar/keşfedilebilir kimlik bilgileri (Resident key/discoverable credentials): Kullanıcı adı olmadan kimlik doğrulamasına olanak tanır (Conditional UI'a izin verir)
  • Yedekleme uygunluğu (BE) ve yedekleme durumu (BS): Geçiş anahtarlarının cihazlar arası senkronizasyonuna izin verir

Yanlış yapılandırılmış bayraklar her zaman anında hatalara neden olmaz. Ancak, geçiş anahtarlarının bir cihazda mevcut olup diğer cihazlar arasında senkronize edilmemesi (aynı 3. taraf parola yöneticisi her iki cihazda da mevcut olabilse bile) gibi ince sorunlar ve tutarsızlıklar yaratabilirler. Testlerdeki bulgularımızdan biri, bazı 3. taraf parola yöneticilerinin BE/BS bayraklarını yanlış ayarlaması ve geçiş anahtarı sorunlarının büyük bir kısmını oluşturmasıydı.

2.4 Single-Instance Uygulamalarda Yaşam Döngüsü Yönetimi#

Tek aktivite (Android) ve tek sahne (iOS) mimarileri, titiz bir yaşam döngüsü yönetimi gerektirir. Bir parola yöneticisi sayfası göründüğünde ve kapatıldığında, uygulamanız durumu korumalı, geri aramaları (callbacks) işlemeli ve doğru şekilde devam etmelidir. Bu, launchMode yapılandırmasının beklenmedik davranışlara neden olabileceği Android'de özellikle kritiktir.

Örneğin, MainActivity'yi launchMode="singleInstance" olarak ayarlamanın sorunlar yarattığını bulduk. Bazı Android sürümlerinde ve OEM özelleştirmelerinde bu mod, Geçiş Anahtarı Credential Manager kullanıcı arayüzünün ayrı bir görev olarak açılmasına neden olur. Bu, "Son Kullanılanlar" ekranına kafa karıştırıcı, ek bir uygulama girişi eklemekle kalmaz, aynı zamanda geçiş anahtarı iletişim kutusu açıkken arka plana alınırsa uygulamanın takılmasına da neden olabilir.

Önerilen düzeltme, yapılandırmayı launchMode="singleTask" olarak değiştirmektir. Bu, Credential Manager'ın ayrı bir görev oluşturmasını engelleyerek farklı OEM'ler (Samsung, Google, Vivo vb.) arasında daha öngörülebilir bir yaşam döngüsü sağlar ve satıcıya özgü hata riskini azaltır. Navigasyon, katmanlar ve derin bağlantıları test etmek için daha istikrarlı bir temel sağlar.

Bu tür yaşam döngüsü sorunlarının, aslında uygulama düzeyindeki sorunlar olduklarında "parola yöneticisi hataları" gibi gizlendiğini gözlemledik. Farklı sağlayıcılar arasında doğru enstrümantasyon ve test, bu modellerin erken tespit edilmesine yardımcı olur.

3. Test Ortamınızı Kurma#

3.1 Hedef Parola Yöneticileri#

Yerel uygulama geçiş anahtarı testinizi en yaygın olarak benimsenen üçüncü taraf parola yöneticilerine odaklayın:

Birincil hedefler (temel kapsam):

İkincil hedefler (kullanıcı tabanınıza göre):

  • Bölgesel sağlayıcılar (ör. Samsung cihazlar için Samsung Pass)
  • İş kullanıcılarını hedefliyorsa kurumsal çözümler
  • Temel olarak platform varsayılanları (Google Password Manager, iCloud Keychain)

Mevcut her parola yöneticisini test etme cazibesinden kaçının. Kullanıcı tabanınızın %90'ını temsil eden sağlayıcılara odaklanın. Analitiklerimiz, beş ana hedefin AB/ABD/Birleşik Krallık/Avustralya/Yeni Zelanda'daki üçüncü taraf parola yöneticisi kullanıcılarının %85'ini kapsadığını gösterdi.

3.2 Uçuş Öncesi Kontrol Listesi#

Her test çalıştırmasına başlamadan önce temiz, tekrarlanabilir bir ortam sağlayın:

1. Temiz kimlik bilgisi durumu:

  • RP kimliğiniz için mevcut tüm kimlik bilgilerini kaldırın
  • Tarayıcı ve uygulama önbelleklerini temizleyin
  • Parola yöneticisinden tamamen çıkış yapın ve tekrar giriş yapın
  • Hedef uygulamayı zorla kapatın ve yeniden başlatın

2. Test ortamını stabilize edin:

  • Kesintisiz ağ bağlantısı sağlayın (test sırasında VPN kullanmayın)
  • Testleri otomatikleştiriyorsanız kullanıcı arayüzü animasyonlarını devre dışı bırakın
  • Tutarlı cihaz yönlendirmesi kullanın
  • İşletim sistemi sürümünü, uygulama sürümünü ve parola yöneticisi sürümünü belgeleyin

4. Kapsamlı Test Planı#

Her test, geçiş anahtarı işlevselliğinin belirli yönlerini doğrular. Sonuçları, başarılı/başarısız durumunu ve herhangi bir anormallik için ayrıntılı notları kullanarak sistematik olarak belgeleyin.

4.1 Temel Kimlik Doğrulama Akışı Testleri#

Test 1: Geçiş Anahtarı Oluşturmayı İptal Et (başarılı geleneksel girişten sonra)#

Zarif iptal işlemesini (graceful cancellation) doğrulayın

✓ Parola yöneticisi sayfası doğru şekilde açılıyor
✓ Kullanıcı geçiş anahtarı oluşturmadan iptal ediyor
✓ Uygulama giriş ekranına dönüyor ✓ Parola yöneticisinde sahipsiz kimlik bilgisi yok
✓ Kullanıcı arayüzü uygun yeniden deneme seçeneklerini görüntülüyor

Test 2: Geçiş Anahtarı Oluştur (başarılı geleneksel girişten sonra)#

Kimlik doğrulama akışından sonra geçiş anahtarı oluşturmayı doğrulayın

✓ Yerel kimlik doğrulama güvenilir bir şekilde başlatılıyor
✓ Biyometrik kimlik doğrulama başarıyla tamamlanıyor
✓ Doğru RP kimliğine sahip kimlik bilgisi oluşturuluyor
✓ Uygulama, döngüler olmadan kimliği doğrulanmış duruma geçiyor

Test 3: Mevcut Geçiş Anahtarı ile Kimlik Doğrulama#

Standart kimlik doğrulama senaryolarını test edin

✓ Geçiş Anahtarı Katman kullanıcı arayüzü görünür veya kullanıcı metin alanı senaryosunda kullanıcı adı sağlar ✓ Biyometrik tarama ve tek biyometrik istem, başarılı kimlik doğrulama ile sonuçlanır
✓ Seçim döngüleri veya sayfanın yeniden görünmesi yok
✓ Oturum kimlik doğrulaması sonrası sabit kalır

Test 4: Ayarlardan Geçiş Anahtarı Oluştur#

Uygulama içi geçiş anahtarı yönetimini doğrulayın

✓ Doğru RP kimliği, keşfedilebilirlik ve BE/BS bayrakları
✓ Uygulama, oluşturulduktan sonra kimliği doğrulanmış kalır
✓ Parola yöneticisi doğru etiketlerle anında güncellenir

Test 5: Geçiş anahtarını silin ve yeniden giriş yapmayı deneyin#

Kimlik bilgisi yaşam döngüsü yönetimini test edin

✓ Ayarlardaki geçiş anahtarını silin ✓ Geçiş anahtarı ile giriş mümkün değildir
✓ Uygun geri dönüş seçeneği sunulur

4.2 Platformlar Arası Uyumluluk Testleri#

Test 6: Yerelde Oluşturulan Geçiş Anahtarını Web'de Kullan (Aynı Cihaz)#

Uygulamadan web'e taşınabilirliği doğrulayın

✓ Tarayıcı, uygulamada oluşturulan geçiş anahtarlarını tanır
✓ Seçim sayfası doğru RP ilişkisini gösterir
✓ Kimlik doğrulama QR/CDA dolambaçlı yolu olmadan tamamlanır

Test 7: Web'de Oluşturulan Geçiş Anahtarını Yerel Uygulamada Kullan#

Web'den uygulamaya kimlik bilgisi paylaşımını test edin

✓ Uygulama, web'de oluşturulan kimlik bilgisini seçimde gösterir
✓ İlk deneme kimlik doğrulaması başarılı olur
✓ Zorunlu parola geri dönüşü yoktur

Test 8: Cihazlar Arası Senkronizasyon (Mobilden Masaüstüne)#

Yerel uygulamadan masaüstü tarayıcısına geçiş anahtarı senkronizasyonunu doğrulayın

✓ Uygulamada oluşturulan geçiş anahtarı masaüstü parola yöneticisi ile senkronize olur ✓ Senkronize edilen geçiş anahtarı masaüstü tarayıcısında sorunsuz çalışır ✓ Hiçbir QR kodu / cihazlar arası akış tetiklenmez ✓ Kimlik doğrulama, döngüler veya hatalar olmadan tamamlanır

Test 9: Cihazlar Arası Senkronizasyon (Masaüstünden Mobile)#

Masaüstü tarayıcısından yerel uygulamaya geçiş anahtarı senkronizasyonunu doğrulayın

✓ Masaüstünde oluşturulan geçiş anahtarı mobil parola yöneticisiyle senkronize olur ✓ Yerel uygulama senkronize edilen geçiş anahtarını doğru şekilde yüzeye çıkarır ✓ Kimlik doğrulama, parola geri dönüşü olmadan başarılı olur ✓ Günlükler (Logs), iddiayı (assertion) doğru kimlik bilgisi kimliğine (credential ID) bağlar

Test 10: Web için Kimlik Doğrulayıcı Olarak Mobil#

Telefon-güvenlik-anahtarı (phone-as-security-key) senaryolarını doğrulayın

✓ Telefon, web CDA için uygulamada oluşturulan kimlik bilgisini sunar
✓ Yanlış "geçiş anahtarı yok" hataları yoktur
✓ Mobil biyometriden sonra web oturumu tamamlanır

5. Yaygın Sorunlar ve Azaltma Stratejileri#

Kapsamlı testlerimiz, üçüncü taraf parola yöneticisi geçiş anahtarı entegrasyonunu etkileyen birkaç yinelenen model ortaya çıkardı:

Cihazlar Arası Senkronizasyon Gecikmeleri#

Sorun: Bir cihazda oluşturulan kimlik bilgileri diğerlerinde hemen görünmeyebilir.

Çözüm: Üstel geri çekilme (exponential backoff) ile yeniden deneme mantığı uygulayın. Senkronizasyon gecikmesi yaşayan kullanıcılar için manuel yenileme seçenekleri sağlayın.

Sürüme Özgü Davranışlar#

Sorun: Parola yöneticisi davranışı, özellikle Android 14+ ve iOS 17+'da işletim sistemi sürümleri arasında önemli ölçüde farklılık gösterir.

Çözüm: Bir uyumluluk matrisi tutun ve akışları algılanan işletim sistemi sürümüne göre ayarlayın. Optimum deneyim için minimum sürüm gereksinimlerini göz önünde bulundurun.

6. Sonuç: Üretime Hazır Geçiş Anahtarı Desteği Oluşturma#

Yerel uygulamalarda üçüncü taraf parola yöneticisi geçiş anahtarı desteğini başarıyla uygulamak, metodik testler ve ayrıntılara dikkat etmeyi gerektirir. Gerçek dünya testleriyle iyileştirilen kapsamlı test planımız, geçiş anahtarı entegrasyonunuzu doğrulamak için sağlam bir temel sağlar.

Üretim dağıtımı için temel çıkarımlar:

  1. Sistematik olarak test edin: Test planımızı belirli kullanım durumlarınıza göre uyarlayarak bir temel olarak kullanın
  2. Kullanıcı seçimine saygı gösterin: Yalnızca platform varsayılanlarını değil, kullanıcılarınızın tercih ettiği parola yöneticilerini destekleyin
  3. Sürekli izleyin: Üretimdeki uç durumları yakalamak için kapsamlı günlükleme (logging) uygulayın
  4. Kapsamlı bir şekilde belgeleyin: Sağlayıcıya özgü davranışların ve geçici çözümlerin net kayıtlarını tutun

Geçiş anahtarı ekosistemi hızla gelişmeye devam ediyor. Parola yöneticileri uygulamalarını düzenli olarak günceller, işletim sistemleri yeni özellikler sunar ve WebAuthn spesifikasyonunun kendisi de ilerler. Sağlam bir test çerçevesi oluşturarak teknoloji olgunlaştıkça uyum sağlamaya hazır olacaksınız.

Yeni modeller ortaya çıktıkça SDK'larımızı ve test metodolojimizi güncellemeye devam edeceğiz. Kapsamlı üçüncü taraf parola yöneticisi testine yapılan yatırım, destek yükünün azalması ve kullanıcı memnuniyetinin artması olarak geri döner. Sonuçta, kullanıcılarınız hangi parola yöneticisini seçerse seçsin, kimlik doğrulama sadece çalışmalıdır.

Corbado

Corbado Hakkında

Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Authentication Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün

Sıkça Sorulan Sorular#

Yerel uygulama geçiş anahtarlarını test ederken hangi üçüncü taraf parola yöneticilerine öncelik vermeliyim?#

Birincil hedefler olarak 1Password, Bitwarden, Dashlane, Proton Pass ve NordPass'a öncelik verin. Bu beş sağlayıcı, AB/ABD/Birleşik Krallık/Avustralya/Yeni Zelanda pazarlarındaki üçüncü taraf parola yöneticisi kullanıcılarının %85'ini kapsayarak daha küçük sağlayıcılara (long-tail) aşırı yatırım yapmadan geniş bir kapsama alanı sunar.

Yerel bir uygulamada oluşturulan geçiş anahtarları, üçüncü taraf bir parola yöneticisi kullanılırken neden cihazlar arasında senkronize olmuyor?#

Yedekleme uygunluğu (BE) ve yedekleme durumu (BS) bayrağının yanlış yapılandırılması, cihazlar arası senkronizasyon hatalarının önde gelen nedenidir. Bazı üçüncü taraf parola yöneticileri bu bayrakları yanlış ayarlar, bu nedenle bir geçiş anahtarı bir cihazda bulunur, ancak her ikisinde de aynı parola yöneticisi yüklü olsa bile diğerleriyle senkronize olmaz.

Son Kullanılanlar ekranında ayrı görevler olarak görünen Android Credential Manager UI hatalarını nasıl düzeltebilirim?#

MainActivity'yi launchMode singleInstance olarak ayarlamak, Credential Manager kullanıcı arayüzünün ayrı bir görev olarak ortaya çıkmasına, kafa karıştırıcı bir Son Kullanılanlar girişi oluşturmasına ve arka plana alındığında uygulamanın potansiyel olarak askıda kalmasına neden olur. Yapılandırmayı launchMode singleTask olarak değiştirmek, bunu Samsung, Google ve Vivo dahil olmak üzere OEM'ler genelinde çözer.

Yerel bir iOS veya Android uygulamasında üçüncü taraf parola yöneticisi desteğini doğrularken hangi kimlik doğrulama akışlarını test etmeliyim?#

Kapsamlı bir test planı 10 senaryoyu kapsar: geçiş anahtarı oluşturma ve zarif iptal (graceful cancellation), katman ve metin alanı kimlik doğrulaması, uygulama içi kimlik bilgisi yönetimi, geri dönüşle (fallback) kimlik bilgisi silme ve çift yönlü cihazlar arası senkronizasyon. Platformlar arası testler ayrıca uygulamada oluşturulan geçiş anahtarlarının bir tarayıcıda kimlik doğruladığını ve web'de oluşturulan geçiş anahtarlarının yerel uygulamada kimlik doğruladığını onaylamalıdır.

Passkey geçiş sürecinizde gerçekte neler olduğunu görün.

Console’u keşfet

Bu makaleyi paylaş


LinkedInTwitterFacebook