Bu sayfa otomatik olarak çevrildi. Orijinal İngilizce sürümü buradan okuyun.
Kurumsal Passkey Whitepaper. Passkey programları için pratik rehberler, geçiş kalıpları ve KPI'lar.
iOS 17 ve Android 14'ün piyasaya sürülmesiyle, yerel mobil uygulamalar için geçiş anahtarı ortamı temelden değişti. İlk kez, üçüncü taraf parola yöneticileri geçiş anahtarı sağlayıcısı olarak hareket edebiliyor ve iCloud Keychain ile Google Password Manager'ın özel hakimiyetini kırıyor. Bu, kullanıcıların 1Password, Bitwarden veya Dashlane gibi kendi güvendikleri çözümleri yerel uygulama kimlik doğrulama akışlarına getirmelerine olanak tanıyor. Bu durum, kullanıcı seçimi açısından büyük bir kazanç olsa da, geliştiriciler için önemli bir karmaşıklık sunuyor. Geçiş anahtarı uygulamanız, yerel mobil uygulamalardaki farklı parola yöneticilerinde farklı davranabilir. Bu nedenle, herhangi bir ekibin yerel uygulama geçiş anahtarlarını ve 3. taraf parola yöneticilerini düzgün bir şekilde test etmesi önemlidir.
Bu kapsamlı rehber, üçüncü taraf parola yöneticileri ile yerel uygulama geçiş anahtarı testine yönelik savaşta test edilmiş yaklaşımımızı paylaşıyor. Geçiş anahtarı ekosistemi 2025'te önemli ölçüde olgunlaşmış olsa da, gerçek dünya uygulaması hala çeşitli parola yöneticisi uygulamaları arasında dikkatli bir doğrulama gerektiriyor. Deneyimlerimizi, yerel uygulamanızın kullanıcıların tercih ettiği parola yöneticileriyle sorunsuz çalışmasını sağlayan pratik bir test planına dönüştürdük.

Passkeys Cheat Sheet. Passkey programları için pratik rehberler, geçiş kalıpları ve KPI'lar.
Parola yöneticisi ekosistemi, platforma özgü çözümlerin ötesine geçti. Kullanıcılar, platformlar arası senkronizasyon, kurumsal özellikler veya gizlilik tercihleri gibi belirli ihtiyaçlarına göre 1Password, Bitwarden, Dashlane, Proton Pass ve NordPass gibi üçüncü taraf parola yöneticilerini aktif olarak seçiyorlar. Yerel iOS / Android uygulamanız, kullanıcıları güvendikleri parola yönetimi çözümünü değiştirmeye zorlamadan bu çeşitliliğe uyum sağlamalıdır.
Corbado sayfalarında ölçtüğümüz verilere göre, genel kullanıcıların yalnızca %5-10'unun üçüncü taraf parola yöneticilerine güvendiğini görüyoruz. Bu sayı kulağa düşük gelse de, büyük ölçekli bir ortamda çalışıyorsanız geçiş anahtarı uygulamanızın algısı ve destek biletlerinin sayısı üzerinde büyük bir etkiye sahip olacaktır. Bazı parola yöneticilerinin WebAuthn spesifikasyonunu biraz farklı uyguladığını ve bunun kullanıcı deneyiminde ince farklılıklara veya hatta hatalara yol açtığını gördük.
Yerel iOS ve Android uygulamaları, geçiş anahtarı kullanımı için farklı yollar sunar. Android'de, geçiş anahtarı seremonisini tetikleyen geçiş anahtarı katmanlarıyla (overlay) ve manuel metin alanı girişleriyle karşılaşırsınız (web uygulamaları için Android, Conditional UI'ı da destekler). iOS, Conditional UI'ın yanı sıra manuel metin alanı girişleriyle birlikte kendi geçiş anahtarı katman setini sunar. Ayrıca, kontrol edilmesi gereken başka uç durumlar da vardır. Sonuç olarak, yerel uygulamanız aşağıdakileri sorunsuz bir şekilde ele almalıdır:
Doğru bayrak yapılandırması, geçiş anahtarlarının cihazlar ve platformlar arasında beklendiği gibi çalışıp çalışmadığını belirler. Kritik değerler şunları içerir:
Yanlış yapılandırılmış bayraklar her zaman anında hatalara neden olmaz. Ancak, geçiş anahtarlarının bir cihazda mevcut olup diğer cihazlar arasında senkronize edilmemesi (aynı 3. taraf parola yöneticisi her iki cihazda da mevcut olabilse bile) gibi ince sorunlar ve tutarsızlıklar yaratabilirler. Testlerdeki bulgularımızdan biri, bazı 3. taraf parola yöneticilerinin BE/BS bayraklarını yanlış ayarlaması ve geçiş anahtarı sorunlarının büyük bir kısmını oluşturmasıydı.
Tek aktivite (Android) ve tek sahne (iOS) mimarileri, titiz bir yaşam döngüsü yönetimi
gerektirir. Bir parola yöneticisi sayfası göründüğünde ve kapatıldığında, uygulamanız
durumu korumalı, geri aramaları (callbacks) işlemeli ve doğru şekilde devam etmelidir. Bu,
launchMode yapılandırmasının beklenmedik davranışlara neden olabileceği Android'de
özellikle kritiktir.
Örneğin, MainActivity'yi launchMode="singleInstance" olarak ayarlamanın sorunlar
yarattığını bulduk. Bazı Android sürümlerinde ve OEM özelleştirmelerinde bu mod, Geçiş
Anahtarı Credential Manager kullanıcı arayüzünün ayrı bir görev olarak açılmasına neden
olur. Bu, "Son Kullanılanlar" ekranına kafa karıştırıcı, ek bir uygulama girişi eklemekle
kalmaz, aynı zamanda geçiş anahtarı iletişim kutusu açıkken arka plana alınırsa
uygulamanın takılmasına da neden olabilir.
Önerilen düzeltme, yapılandırmayı launchMode="singleTask" olarak değiştirmektir. Bu,
Credential Manager'ın ayrı bir görev oluşturmasını engelleyerek farklı OEM'ler (Samsung,
Google, Vivo vb.) arasında daha öngörülebilir bir yaşam döngüsü sağlar ve satıcıya özgü
hata riskini azaltır. Navigasyon, katmanlar ve derin bağlantıları test etmek için daha
istikrarlı bir temel sağlar.
Bu tür yaşam döngüsü sorunlarının, aslında uygulama düzeyindeki sorunlar olduklarında "parola yöneticisi hataları" gibi gizlendiğini gözlemledik. Farklı sağlayıcılar arasında doğru enstrümantasyon ve test, bu modellerin erken tespit edilmesine yardımcı olur.
Son makaleler
⚙️
Geliştiriciler için Geçiş Anahtarları Kopya Kağıdı
👤
Apple, Windows ve Android'de Geçiş Anahtarı Nasıl Silinir
📖
Üretim Ortamında WebAuthn Hataları: Kapsamlı Rehber (2026)
📖
WebAuthn Conditional UI (Geçiş Anahtarları Otomatik Doldurma) Teknik Açıklaması
📖
Brave Tarayıcısında Geçiş Anahtarları (2026): Çalışanlar ve Hatalar
Yerel uygulama geçiş anahtarı testinizi en yaygın olarak benimsenen üçüncü taraf parola yöneticilerine odaklayın:
Birincil hedefler (temel kapsam):
İkincil hedefler (kullanıcı tabanınıza göre):
Mevcut her parola yöneticisini test etme cazibesinden kaçının. Kullanıcı tabanınızın %90'ını temsil eden sağlayıcılara odaklanın. Analitiklerimiz, beş ana hedefin AB/ABD/Birleşik Krallık/Avustralya/Yeni Zelanda'daki üçüncü taraf parola yöneticisi kullanıcılarının %85'ini kapsadığını gösterdi.
Her test çalıştırmasına başlamadan önce temiz, tekrarlanabilir bir ortam sağlayın:
1. Temiz kimlik bilgisi durumu:
2. Test ortamını stabilize edin:
Her test, geçiş anahtarı işlevselliğinin belirli yönlerini doğrular. Sonuçları, başarılı/başarısız durumunu ve herhangi bir anormallik için ayrıntılı notları kullanarak sistematik olarak belgeleyin.
Zarif iptal işlemesini (graceful cancellation) doğrulayın
✓ Parola yöneticisi sayfası doğru şekilde açılıyor
✓ Kullanıcı geçiş anahtarı oluşturmadan iptal ediyor
✓ Uygulama giriş ekranına dönüyor ✓ Parola yöneticisinde sahipsiz kimlik bilgisi yok
✓ Kullanıcı arayüzü uygun yeniden deneme seçeneklerini görüntülüyor
Kimlik doğrulama akışından sonra geçiş anahtarı oluşturmayı doğrulayın
✓ Yerel kimlik doğrulama güvenilir bir şekilde
başlatılıyor
✓ Biyometrik kimlik doğrulama başarıyla tamamlanıyor
✓ Doğru RP kimliğine sahip kimlik bilgisi oluşturuluyor
✓ Uygulama, döngüler olmadan kimliği doğrulanmış duruma geçiyor
Standart kimlik doğrulama senaryolarını test edin
✓ Geçiş Anahtarı Katman kullanıcı arayüzü görünür veya kullanıcı metin alanı senaryosunda
kullanıcı adı sağlar ✓ Biyometrik tarama ve tek biyometrik istem, başarılı kimlik
doğrulama ile sonuçlanır
✓ Seçim döngüleri veya sayfanın yeniden görünmesi yok
✓ Oturum kimlik doğrulaması sonrası sabit kalır
Uygulama içi geçiş anahtarı yönetimini doğrulayın
✓ Doğru RP kimliği, keşfedilebilirlik ve BE/BS bayrakları
✓ Uygulama, oluşturulduktan sonra kimliği doğrulanmış kalır
✓ Parola yöneticisi doğru etiketlerle anında güncellenir
Kimlik bilgisi yaşam döngüsü yönetimini test edin
✓ Ayarlardaki geçiş anahtarını silin ✓ Geçiş
anahtarı ile giriş mümkün değildir
✓ Uygun geri dönüş seçeneği sunulur
Uygulamadan web'e taşınabilirliği doğrulayın
✓ Tarayıcı, uygulamada oluşturulan geçiş anahtarlarını tanır
✓ Seçim sayfası doğru RP ilişkisini gösterir
✓ Kimlik doğrulama QR/CDA dolambaçlı yolu olmadan tamamlanır
Web'den uygulamaya kimlik bilgisi paylaşımını test edin
✓ Uygulama, web'de oluşturulan kimlik bilgisini seçimde gösterir
✓ İlk deneme kimlik doğrulaması başarılı olur
✓ Zorunlu parola geri dönüşü yoktur
Yerel uygulamadan masaüstü tarayıcısına geçiş anahtarı senkronizasyonunu doğrulayın
✓ Uygulamada oluşturulan geçiş anahtarı masaüstü parola yöneticisi ile senkronize olur ✓ Senkronize edilen geçiş anahtarı masaüstü tarayıcısında sorunsuz çalışır ✓ Hiçbir QR kodu / cihazlar arası akış tetiklenmez ✓ Kimlik doğrulama, döngüler veya hatalar olmadan tamamlanır
Masaüstü tarayıcısından yerel uygulamaya geçiş anahtarı senkronizasyonunu doğrulayın
✓ Masaüstünde oluşturulan geçiş anahtarı mobil parola yöneticisiyle senkronize olur ✓ Yerel uygulama senkronize edilen geçiş anahtarını doğru şekilde yüzeye çıkarır ✓ Kimlik doğrulama, parola geri dönüşü olmadan başarılı olur ✓ Günlükler (Logs), iddiayı (assertion) doğru kimlik bilgisi kimliğine (credential ID) bağlar
Telefon-güvenlik-anahtarı (phone-as-security-key) senaryolarını doğrulayın
✓ Telefon, web CDA için uygulamada oluşturulan kimlik bilgisini sunar
✓ Yanlış "geçiş anahtarı yok" hataları yoktur
✓ Mobil biyometriden sonra web oturumu tamamlanır
Kapsamlı testlerimiz, üçüncü taraf parola yöneticisi geçiş anahtarı entegrasyonunu etkileyen birkaç yinelenen model ortaya çıkardı:
Sorun: Bir cihazda oluşturulan kimlik bilgileri diğerlerinde hemen görünmeyebilir.
Çözüm: Üstel geri çekilme (exponential backoff) ile yeniden deneme mantığı uygulayın. Senkronizasyon gecikmesi yaşayan kullanıcılar için manuel yenileme seçenekleri sağlayın.
Sorun: Parola yöneticisi davranışı, özellikle Android 14+ ve iOS 17+'da işletim sistemi sürümleri arasında önemli ölçüde farklılık gösterir.
Çözüm: Bir uyumluluk matrisi tutun ve akışları algılanan işletim sistemi sürümüne göre ayarlayın. Optimum deneyim için minimum sürüm gereksinimlerini göz önünde bulundurun.
Yerel uygulamalarda üçüncü taraf parola yöneticisi geçiş anahtarı desteğini başarıyla uygulamak, metodik testler ve ayrıntılara dikkat etmeyi gerektirir. Gerçek dünya testleriyle iyileştirilen kapsamlı test planımız, geçiş anahtarı entegrasyonunuzu doğrulamak için sağlam bir temel sağlar.
Üretim dağıtımı için temel çıkarımlar:
Geçiş anahtarı ekosistemi hızla gelişmeye devam ediyor. Parola yöneticileri uygulamalarını düzenli olarak günceller, işletim sistemleri yeni özellikler sunar ve WebAuthn spesifikasyonunun kendisi de ilerler. Sağlam bir test çerçevesi oluşturarak teknoloji olgunlaştıkça uyum sağlamaya hazır olacaksınız.
Yeni modeller ortaya çıktıkça SDK'larımızı ve test metodolojimizi güncellemeye devam edeceğiz. Kapsamlı üçüncü taraf parola yöneticisi testine yapılan yatırım, destek yükünün azalması ve kullanıcı memnuniyetinin artması olarak geri döner. Sonuçta, kullanıcılarınız hangi parola yöneticisini seçerse seçsin, kimlik doğrulama sadece çalışmalıdır.
Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Authentication Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün →
Birincil hedefler olarak 1Password, Bitwarden, Dashlane, Proton Pass ve NordPass'a öncelik verin. Bu beş sağlayıcı, AB/ABD/Birleşik Krallık/Avustralya/Yeni Zelanda pazarlarındaki üçüncü taraf parola yöneticisi kullanıcılarının %85'ini kapsayarak daha küçük sağlayıcılara (long-tail) aşırı yatırım yapmadan geniş bir kapsama alanı sunar.
Yedekleme uygunluğu (BE) ve yedekleme durumu (BS) bayrağının yanlış yapılandırılması, cihazlar arası senkronizasyon hatalarının önde gelen nedenidir. Bazı üçüncü taraf parola yöneticileri bu bayrakları yanlış ayarlar, bu nedenle bir geçiş anahtarı bir cihazda bulunur, ancak her ikisinde de aynı parola yöneticisi yüklü olsa bile diğerleriyle senkronize olmaz.
MainActivity'yi launchMode singleInstance olarak ayarlamak, Credential Manager kullanıcı arayüzünün ayrı bir görev olarak ortaya çıkmasına, kafa karıştırıcı bir Son Kullanılanlar girişi oluşturmasına ve arka plana alındığında uygulamanın potansiyel olarak askıda kalmasına neden olur. Yapılandırmayı launchMode singleTask olarak değiştirmek, bunu Samsung, Google ve Vivo dahil olmak üzere OEM'ler genelinde çözer.
Kapsamlı bir test planı 10 senaryoyu kapsar: geçiş anahtarı oluşturma ve zarif iptal (graceful cancellation), katman ve metin alanı kimlik doğrulaması, uygulama içi kimlik bilgisi yönetimi, geri dönüşle (fallback) kimlik bilgisi silme ve çift yönlü cihazlar arası senkronizasyon. Platformlar arası testler ayrıca uygulamada oluşturulan geçiş anahtarlarının bir tarayıcıda kimlik doğruladığını ve web'de oluşturulan geçiş anahtarlarının yerel uygulamada kimlik doğruladığını onaylamalıdır.
İlgili makaleler
İçindekiler