Sign up to the Passkey Intelligence Webinar on Oct. 8Sign up to the Passkey Intelligence Webinar & learn how to get +80% Passkey AdoptionWebAuthn Genel Anahtar Kimlik Bilgisi İpuçları (User-Agent İpuçları) hakkında her şeyi öğrenin: Ne işe yararlar, nasıl kullanılırlar, hangi sınırlamaları ve önerileri bilmek gerekir?
Vincent
Created: August 8, 2025
Updated: August 16, 2025
Passkeys Series: WebAuthn Advanced
See the original blog version in English here.
Our mission is to make the Internet a safer place, and the new login standard passkeys provides a superior solution to achieve that. That's why we want to help you understand passkeys and its characteristics better.
WebAuthn ve Passkey'ler giderek daha fazla popülerlik ve kullanım kazanıyor. Ayrıca, teknik açıdan bakıldığında WebAuthn standardı hızla gelişiyor. WebAuthn genel anahtar kimlik bilgisi ipuçları (User-agent İpuçları olarak da bilinir), geliştiricilerin uygulamalarında Passkey ile kimlik doğrulama yöntemini iyileştirmeyi amaçlayan Web Authentication API'sine eklenen en son özelliktir.
Bu makalede aşağıdaki soruları yanıtlayacağız:
Önce motivasyonumuza bir göz atarak başlayalım.
Recent Articles
📝
Dijital Kimlik Bilgisi Doğrulayıcı Nasıl Oluşturulur (Geliştirici Rehberi)
📝
Dijital Kimlik Bilgisi Vericisi Nasıl Oluşturulur (Geliştirici Kılavuzu)
📖
WebAuthn Resident Key: Passkey Olarak Keşfedilebilir Kimlik Bilgileri
🔑
Fiziksel Yaka Kartı Erişimi ve Passkey'ler: Teknik Rehber
🔑
MFA'yı Zorunlu Kılma ve Passkey'lere Geçiş: En İyi Uygulamalar
Günümüzde bir Passkey oluşturup saklayabileceğiniz farklı yerler bulunmaktadır:
Kullanıcı için bu durum esneklik ve seçim özgürlüğü sunabilir. Ancak, bazı uygulamalar ve senaryolar, artan güvenlik gereksinimleri nedeniyle yalnızca donanım güvenlik anahtarlarına izin vermek istediğinizde olduğu gibi, bu seçeneklerden bazılarını kısıtlamayı gerektirir.
Bu Passkey oluşturma ve saklama sürecini
etkilemek için authenticatorAttachment özelliğine sahiptik.
authenticatorAttachment, Relying Party'lerin Passkey'in
nerede oluşturulabileceğini kısıtlamasına olanak tanır.
platform, WebAuthn'i çalıştıran cihaza yerleşik bir
doğrulayıcıyı belirtir. WebAuthn, bu doğrulayıcıyla platforma
özgü API'ler gibi o platforma özel aktarım yöntemlerini kullanarak iletişim kurar. Bir
platform doğrulayıcısıyla bağlantılı genel anahtar
kimlik bilgisine platform kimlik bilgisi denir. Yukarıdaki listeden, aşağıdaki kimlik
bilgisi yöneticileri / konumları platform kimlik bilgilerini saklayabilir:
Windows 11 ve Chrome:
macOS 15 (Sequoia) ve Chrome:
İptal'e tıklandığında aşağıdaki pencere belirir:
macOS 15 (Sequoia) ve Safari:
cross-platform, WebAuthn'i çalıştıran cihazın haricinde olan (gezici doğrulayıcı) bir
doğrulayıcıyı belirtir çünkü birden fazla cihazda
kullanılabilir. WebAuthn, bu doğrulayıcıyla Bluetooth veya NFC gibi çapraz platform
aktarım protokollerini kullanarak etkileşime girer. Gezici bir doğrulayıcıyla ilişkili bir
genel anahtar kimlik bilgisine gezici kimlik bilgisi denir. Yukarıdaki listeden, aşağıdaki
kimlik bilgisi yöneticileri / konumları çapraz platform kimlik bilgilerini saklayabilir:
Windows 11 ve Chrome:
macOS 15 (Sequoia) ve Chrome:
macOS 15 (Sequoia) ve Safari:
Belirtilmemiş olması, ya bir platform doğrulayıcısının ya da bir çapraz platform doğrulayıcısının kullanılabileceğini gösterir. Burada, kullanıcı Passkey'lerini nerede saklamak istediğini seçebilir.
Windows 11 ve Chrome:
macOS 15 (Sequoia) ve Chrome:
macOS 15 (Sequoia) ve Safari:
İptal'e tıklandığında aşağıdaki pencere belirir:
authenticatorAttachment uzun bir süredir kullanılıyordu. Ancak, Cihazlar Arası
Kimlik Doğrulama (QR kodları ve Bluetooth
aracılığıyla) gibi yeni gelişmelere karşı esnek değildi. Burada, bir Passkey örneğin
Google Parola Yöneticisi'nde (platform kimlik
bilgisi) saklanır ama Relying Party tarafından cross-platform
ile tetiklenir. Bunun yanı sıra, bir Relying Party'nin bir
giriş (kayıt değil) işleminde kullanılacak Passkey türünü etkileme kontrolü yalnızca bir
kimlik bilgisinin transports değerini değiştirerek yapılabilirdi.
İşte bu noktada WebAuthn Genel Anahtar Kimlik Bilgisi İpuçları devreye giriyor.
WebAuthn genel anahtar kimlik bilgisi ipuçları, Web Authentication API'sine (WebAuthn Level 3 ile resmi olarak) eklenen yeni bir parametredir. Bu ipuçları, bir kullanıcının kimlik doğrulama işlemi sırasında kullanması muhtemel olan doğrulayıcı türü hakkında tarayıcılara rehberlik eder. Bu, tarayıcının kullanıcı arayüzünü en alakalı seçeneklere odaklayarak daha akıcı ve sezgisel bir kullanıcı deneyimi sunmaya yardımcı olur.
Üç Tür İpucu
İpuçları üç türde gelir:
security-key: Kullanıcının bir donanım
güvenlik anahtarı (ör. YubiKey)
kullanmasının beklendiğini belirtir.client-device: Kullanıcının istemci cihazına bağlı bir
platform doğrulayıcısı (macOS'te Touch ID,
iOS'ta Face ID veya Windows'ta
Windows Hello gibi) kullanacağını önerir.hybrid: Kullanıcının QR kodu ve Bluetooth
aracılığıyla cihazlar arası kimlik doğrulama için
bir akıllı telefon veya tablet kullanabileceğini ima eder.Bu ipuçları, Relying Party tarafından belirlenen katı gereksinimler değil, tarayıcıya ipucu vererek kullanıcı deneyimini geliştirmek için bir rehber görevi görür.
Aşağıda, authenticatorAttachment belirtilmemiş ve WebAuthn
User-agent İpucu security-key
olarak ayarlanmış macOS Sequoia (Edge + Chrome) ve Windows 10 (Chrome) için ekran
görüntülerini görüyorsunuz.
Burada başka bir sınırlama görüyoruz: security-key ipucu Windows 10'da, en azından
doğrudan, dikkate alınmıyor. Akış, temel olarak client-device ipucu ile aynı.
İptal'e tıklandığında aşağıdaki pencere belirir:
Aşağıda, authenticatorAttachment belirtilmemiş ve WebAuthn
User-agent İpucu client-device
olarak ayarlanmış macOS Sequoia (Edge + Chrome) ve Windows 10 (Chrome) için ekran
görüntülerini görüyorsunuz.
İptal'e tıklandığında aşağıdaki pencere belirir:
İptal'e tıklandığında aşağıdaki pencere belirir:
İptal'e tıklandığında aşağıdaki pencere belirir:
Aşağıda, authenticatorAttachment belirtilmemiş ve WebAuthn
User-agent İpucu hybrid olarak
ayarlanmış macOS Sequoia (Edge + Chrome) ve Windows 10 (Chrome) için ekran görüntülerini
görüyorsunuz.
İpuçlarının tanıtılmasıyla birlikte, geliştiriciler artık azalan öncelik sırasına göre bir dizi tercih sunarak daha fazla esneklik sağlayabilirler.
Aşağıdaki kod parçacığı, tarayıcıya kullanıcının muhtemelen bir donanım güvenlik anahtarı kullanarak kimlik doğrulaması yapacağını bildirir ve kullanıcı arayüzünü buna göre odaklar.
Eski user-agent'larla uyumluluk için, bu ipucu
PublicKeyCredentialCreationOptions içinde
kullanıldığında, authenticatorAttachment cross-platform olarak ayarlanmalıdır.
const credential = await navigator.credentials.create({ publicKey: { challenge: /* your challenge here */, hints: ['security-key'], authenticatorSelection: { authenticatorAttachment: 'cross-platform' } } });
security ipucu, web sitesinin / Relying Party'nin yalnızca
donanım güvenlik anahtarlarına izin vermek
istediği ve kullanıcıyı bu yöne teşvik ettiği yüksek güvenceli durumlarda özellikle
değerlidir.
Bu örnekte, ipucu kullanıcının mevcut cihazın yerleşik platform doğrulayıcısını kullanabileceğini önerir.
Eski user-agent'larla uyumluluk için, bu ipucu
PublicKeyCredentialCreationOptions içinde
kullanıldığında, authenticatorAttachment platform olarak ayarlanmalıdır.
const credential = await navigator.credentials.create({ publicKey: { challenge: /* your challenge here */, residentKey: true, hints: ['client-device'], authenticatorSelection: { authenticatorAttachment: 'platform' } } });
client-device ipucunu ayarlamak, bir kullanıcı hesabıyla ilişkili birden fazla Passkey
varsa ve bunlardan bazıları giriş yapılan cihazda mevcutken diğerleri farklı cihazlarda
saklanıyorsa faydalıdır. Eğer sistem
(Passkey zekası)
giriş yapmaya çalışan kullanıcının yüksek olasılıkla yerel bir Passkey'e sahip olduğunu
tespit ederse, bu ipucu
PublicKeyCredentialRequestOptions içinde
ayarlanarak kullanıcının doğru Passkey'i seçmek için yapacağı bir tıklamadan tasarruf
etmesini sağlar.
Bu örnekte, ipucu kullanıcının kimlik doğrulama için bir akıllı telefon veya benzer bir cihaz kullanabileceğini önerir.
Eski user-agent'larla uyumluluk için, bu ipucu
PublicKeyCredentialCreationOptions içinde
kullanıldığında, authenticatorAttachment cross-platform olarak ayarlanmalıdır.
const credential = await navigator.credentials.create({ publicKey: { challenge: /* your challenge here */, residentKey: true, hints: ['hybrid'], authenticatorSelection: { authenticatorAttachment: 'cross-platform' } } });
hybrid ipucu, kullanıcının birden fazla anahtarı varsa ve sistem
(Passkey zekası)
mevcut cihazda muhtemelen yerel bir Passkey olmadığını tespit ederse yardımcı olabilir.
Kullanıcı deneyimini iyileştirmek ve bir tıklamadan tasarruf etmek için bu WebAuthn
User-agent ipucunu ayarlayabilir ve
kullanıcıyı doğrudan cihazlar arası kimlik doğrulamaya (
QR kodu ve Bluetooth aracılığıyla)
yönlendirebilirsiniz. Ayrıca, bir
mobil öncelikli Passkey
sistemi kurmaya çalışıyorsanız, bu ipucunu ayarlamak çok mantıklıdır.
Farklı seçeneklerle kendiniz oynamak için Passkeys Debugger aracına göz atmanızı öneririz.
WebAuthn Genel Anahtar Kimlik Bilgisi İpuçlarının authenticatorAttachment ve kimlik
bilgisi transports gibi diğer WebAuthn parametreleriyle nasıl etkileşime girdiğini
anlamak çok önemlidir.
Öncelikle, bu ipuçlarının katı gereksinimler olmadığını belirtmek önemlidir. User-agent'ı (tarayıcıyı) bağlamazlar, ancak isteğinizle ilgili bağlamsal bilgilerden yararlanarak en iyi deneyimi sunmak için bir rehber görevi görürler. Bu, tarayıcıların ipuçlarını dikkate almayı seçebileceği ancak onlara sıkı sıkıya uymak zorunda olmadığı anlamına gelir.
İpuçları, azalan tercih sırasına göre bir dizi olarak sağlanır. Bu sıra, tarayıcının onlara nasıl öncelik vermesi gerektiğini belirler:
Örnek:
hints: ['security-key', 'hybrid', 'client-device']
Bu dizide:
security-key'e öncelik verir.hybrid'i dikkate alır.client-device'a (istemci cihazındaki platform
doğrulayıcıları) bakar.İpuçları, authenticatorAttachment ve kimlik bilgisi transports içinde yer alan
bilgilerle çelişebilir. Bu durumda, ipuçları öncelik kazanır. Bu,
doğrulayıcıyı platform veya cross-platform ile sınırlayan
authenticatorAttachment'ın önceki katı kullanımına kıyasla daha fazla esneklik sunar.
Çelişkili Parametrelerle Örnek:
const credential = await navigator.credentials.create({ publicKey: { challenge: /* your challenge here */, hints: ['hybrid'], authenticatorSelection: { authenticatorAttachment: 'platform' // İpucuyla çelişiyor } } });
Bu durumda:
hybrid doğrulayıcılar için bir tercih önerir.platform belirtir.authenticatorAttachment yerine ipucuna öncelik vererek hybrid
seçeneklerine odaklanır.Şu anda, WebAuthn genel anahtar kimlik bilgisi ipuçları yalnızca Chrome'da (sürüm 128'den beri) mevcuttur. Şu an itibarıyla, Edge ve Safari bu özelliği entegre etme planlarını belirtmişken, Firefox henüz yayın takvimini onaylamamıştır.
| Tarayıcı | Chrome | Edge | Safari | Firefox |
|---|---|---|---|---|
| Kullanılabilirlik | ✅ sürüm 128'den beri | ✅ sürüm 128'den beri | Planlanıyor | yok |
Chrome'da authenticatorAttachment parametresinin şimdilik dikkate alınmaya devam
ettiğini unutmamak önemlidir. Bu, bugün hangi ipucu ayarlanırsa ayarlansın,
authenticatorAttachment'ın belirleyici faktör olduğu anlamına gelir. Ancak, gelecekteki
Chrome sürümlerinde genel anahtar kimlik bilgisi ipuçlarının tercih edilen ve tek yaklaşım
haline gelmesini bekliyoruz.
En son Chrome sürümü WebAuthn User-agent İpuçlarını desteklese de, bu ipuçları Windows 11 ve Windows Hello / Windows Güvenliği tarafından dikkate alınmaz. Bunun temel nedeni, kullanıcı arayüzünün işletim sisteminin (Windows Hello / Windows Güvenliği) kendisi tarafından kontrol edilmesidir.
Ayrıca, Google Parola Yöneticisi'nde saklanan ve Windows 11'e senkronize edilen bir Passkey için WebAuthn User-agent İpuçları dikkate alınmaz, çünkü Windows 11 üzerindeki son yerel kimlik doğrulama Windows Hello / Windows Güvenliği ile gerçekleşir. Windows 11'de Microsoft hesapları aracılığıyla Passkey'lerin yakında senkronize edilmesiyle, Windows 11 ve WebAuthn User-agent İpuçları için de iyileştirmeler bekliyoruz.
Windows 10'da ise WebAuthn User-agent İpuçları dikkate alınır, çünkü WebAuthn
kullanıcı arayüzü Windows Hello / Windows Güvenliği tarafından
değil, Chrome tarafından yönetilir. Ancak testlerimiz sırasında, security-key için bir
etki görmedik. Bu ipucu ayarlandığında, akış client-device için olan gibi görünüyordu.
WebAuthn genel anahtar kimlik bilgisi (user-agent) ipuçları, hem geliştiricilere hem de kullanıcılara bir dizi fayda sağlar. Özellik hala yeni ve henüz tüm tarayıcılara ve işletim sistemlerine (Ekim 2024 itibarıyla) sunulmuş değil.
Özellikle Windows 11 ile gelen mevcut sınırlamaların farkında olmak önemlidir. Windows 11'de, Passkey kullanıcı arayüzü Windows Hello (Windows Hello güvenlik penceresi) tarafından yönetilir ve bu durum şu anda Chrome / Edge'in WebAuthn User-agent ipuçları desteğini geçersiz kılar. Bu durum, Google Parola Yöneticisi'nden Windows'a senkronize edilen Passkey'ler için de geçerlidir (burada da ipuçlarının henüz bir etkisi yoktur).
Bu, WebAuthn genel anahtar kimlik bilgisi ipuçlarının (büyük masaüstü işletim sistemleri arasında) yalnızca macOS ve Windows 10'da gerçekten çalıştığı anlamına gelir.
Ayrıca, Ekim 2024 itibarıyla, bu işletim sistemlerinde Chrome / Edge kullanılsa bile,
authenticatorAttachment ayarlanmışsa, bu da WebAuthn User-agent ipuçlarını geçersiz
kılar
(Google'ın belirttiği gibi).
Kullanım senaryosu açısından, bu yeni özellikten en fazla değeri elde etmek için aşağıdaki önerilen kullanım durumlarını görüyoruz.
Arka uç ve Passkey zekanızı oluştururken, girişi kolaylaştırmak ve kullanıcıyı gereksiz
tıklamalardan kurtarmak için genel anahtar kimlik bilgisi ipuçlarının doğru kullanımını
dahil etmeye çalışın. Örneğin, sisteminiz bir kullanıcının muhtemelen yerel bir Passkey'in
bulunduğu bir cihazda oturum açtığını tespit ederse, client-device ipucunu kullanın.
Kullanıcı web sitesine yeni bir cihazdan erişiyorsa ve
Passkey zekanız
bir Passkey'in kullanıcının mobil cihazında mevcut olabileceğini biliyorsa, ipucunu
hybrid olarak ayarlayın, böylece kullanıcı hızla
QR kodunu tarayabilir ve hibrit Passkey'den
yararlanabilir.
Buradaki temel amaç, daha sorunsuz ve sezgisel bir kullanıcı deneyimi sağlamaktır. Tarayıcılara hangi doğrulayıcıların kullanılma olasılığının yüksek olduğu konusunda rehberlik ederek, geliştiriciler giriş işlemi sırasında kullanıcı kafa karışıklığını ve sürtünmeyi azaltabilir. Kullanıcıların gereksiz kimlik doğrulama seçenekleriyle bunalması yerine, ipuçları tarayıcıların en alakalı seçeneklere odaklanmasını sağlar, bu da daha hızlı ve daha basit bir deneyime yol açar.
Kullanıcı kimlik doğrulaması için
donanım güvenlik anahtarlarını
standartlaştırmış yüksek güvenceli işletmeler veya devlet kuruluşları, Passkey kimlik
bilgisi ipuçlarını özellikle yararlı bulacaktır. security-key ipucunu kullanarak,
tarayıcıların donanım güvenlik anahtarı seçeneğini belirgin bir
şekilde göstermesini sağlayabilirler.
Bu, özellikle çalışanlara donanım güvenlik anahtarları verilen ve diğer kimlik doğrulama
yöntemlerinin (platform doğrulayıcıları gibi) izin verilmediği büyük kuruluşlar için
kullanışlıdır. security-key ipucu, işletmelerin gelecekteki iyileştirmeler için
esnekliklerini sınırlamadan kimlik doğrulama akışlarını kilitlemelerini sağlar.
hybrid ipucu, cihazlar arası kimlik doğrulamanın ve dolayısıyla mobil öncelikli bir
yaklaşımın istendiği veya kullanıcıların sık sık cihazlar veya platformlar arasında geçiş
yaptığı senaryolarda öne çıkar.
Bu kullanım durumuna bir örnek, kullanıcılarının çoğunun kimlik doğrulama için akıllı
telefonlarını biyometrik yöntemler veya web tabanlı doğrulayıcı uygulamaları (mobil
öncelikli Passkey'ler) aracılığıyla
kullanacağını öngören tüketiciye yönelik bir uygulama olabilir. Geliştiriciler, bir ipucu
olarak hybrid belirterek, tarayıcının kullanıcı arayüzünün akıllı telefon kullanımını
teşvik etmesini sağlar, bu da rahatlığı ve erişilebilirliği artırır.
WebAuthn genel anahtar kimlik bilgisi ipuçları, Passkey ile kimlik doğrulama sırasında kullanıcı deneyimini geliştirmek için esnek bir yol sunar. Girişteki soruları topladığımız bilgilerle yeniden gözden geçirelim:
WebAuthn Genel Anahtar Kimlik Bilgisi İpuçları nedir?
Bunlar, bir kullanıcının en olası kimlik doğrulama yönteminin ne olacağı konusunda istemcilere rehberlik etmek için web sitesi / uygulama tarafından sağlanan isteğe bağlı önerilerdir – ister bir donanım güvenlik anahtarı, ister platform doğrulayıcısı, isterse cihazlar arası kimlik doğrulama gibi hibrit bir çözüm olsun.
WebAuthn Genel Anahtar Kimlik Bilgisi İpuçlarına neden ihtiyacımız var?
Kullanıcılara sunulan seçenekleri daraltarak, gereksiz sürtünmeyi / tıklamaları azaltarak ve genel deneyimi iyileştirerek kimlik doğrulama sürecini daha akıcı hale getirirler.
WebAuthn Genel Anahtar Kimlik Bilgisi İpuçları nasıl çalışır?
Geliştiriciler, bağlama göre security-key, client-device veya hybrid gibi
ipuçları belirtir, bu da tarayıcıların kullanıcı için ilgili kimlik doğrulama
yöntemine öncelik vermesini sağlar. Bu ipuçları katı gereksinimler olmasa da, kimlik
doğrulama sırasında kullanıcı arayüzü akışını optimize etmeye yardımcı olurlar.
Sınırlamaları ve önerilen kullanım durumları nelerdir?
Şu anda, bu ipuçları için tam destek Chrome ve Edge ile sınırlıdır ve Windows 11 gibi diğer tarayıcılar ve işletim sistemleri değişen uyumluluk seviyeleri göstermektedir. En etkili kullanım durumları arasında giriş kullanıcı deneyimini iyileştirmek, yüksek güvenlikli ortamlarda donanım güvenlik anahtarı kullanımını zorunlu kılmak ve mobil öncelikli uygulamalarda cihazlar arası kimlik doğrulamayı etkinleştirmek yer alır.
Sonuç olarak, WebAuthn Genel Anahtar Kimlik Bilgisi İpuçları, geliştiricilerin her kullanıcı senaryosu için en uygun seçeneklere tarayıcıları yönlendirerek daha sezgisel, kullanıcı dostu kimlik doğrulama süreçleri oluşturmasına olanak tanır. Hala gelişmekte olsa da, bu özellik Passkey uygulamalarında hem güvenliği hem de kullanıcı deneyimini önemli ölçüde artırabilir.
Passkeys Series: WebAuthn Advanced
Share this article
Related Articles
Table of Contents
