Passkey ile Şifresiz Giriş: 2026’da Türkiye Şirketleri İçin Rehber
12.05.2026
11:59
Xen Bilişim
Geçen hafta dünya genelinde 7 Mayıs Dünya Passkey Günü olarak kutlandı. Bu ay Microsoft Entra ID kullanan tüm kurumsal hesaplarda Passkey profilleri otomatik açılmaya başlıyor; Haziran ortasında ise Windows üzerinde passkey ile şifresiz giriş genel kullanıma sunulacak. Yıllardır müşterilerimize "şifreden kurtulun" diyoruz, ama 2026 itibarıyla bu artık tercih meselesi olmaktan çıkıyor — KVKK kapsamında "uygun teknik tedbir" yükümlülüğünüz ve siber sigortacıların yeni gereklilik listesi sizi her halükarda buraya zorluyor. Bu yazıda passkey nedir, neden bu kadar önemli, kurumsal geçiş için neyi nereden başlatmalısınız sorularını tek tek cevaplayacağım.
Passkey Nedir, Şifreden Farkı Ne?
Passkey, FIDO2/WebAuthn standartlarına dayanan, telefonunuza veya bilgisayarınıza kayıtlı kriptografik bir anahtar çiftidir. Açık anahtar sunucuda, gizli anahtar cihazda kalır. Giriş yaparken yüz/parmak izi veya cihaz PIN'i ile bu anahtar açılır; sunucu sadece "evet, doğru cihaz, doğru kullanıcı" onayını alır. Sonuç: parolanız asla iletilmez, asla yazılmaz, sunucu sızıntısında çalınacak hiçbir şey yoktur.
Pratikte fark şudur: 20 yıllık BT deneyimimizde gördüğümüz en yaygın iki saldırı — parola sızıntısı ve oltalama (phishing) — passkey'de neredeyse imkânsız. Çünkü passkey kayıtlı olduğu domain dışında çalışmaz. Sahte bir "office365-login.tr" sayfası açsanız bile passkey o adresi tanımadığı için kimlik bilgisi göndermez.
Neden 2026 Geçişin Dönüm Noktası?
Üç şey aynı anda oldu:
Microsoft, Mart 2026 itibarıyla Entra ID'de Passkey Profillerini otomatik açtı. Yani siz hiçbir şey yapmasanız da kullanıcılarınız Authenticator uygulamasında passkey kaydetme önerisi görmeye başladı.
Nisan sonu - Haziran ortası arasında Windows 11'de "Entra passkey ile giriş" özelliği aşamalı olarak GA (genel kullanılabilirlik) statüsüne geçiyor.
NIS2 (Avrupa) ve PCI DSS 4.0 denetim periyotları bu yıl başladı; her ikisi de "phishing-resistant MFA" şart koşuyor ve FIDO2 passkey'i açıkça örnek olarak gösteriyor.
Microsoft'un kendi kurumsal hesaplarında bugün %99.6'sı oltalamaya dayanıklı kimlik doğrulama ile korunuyor. Sektör araştırmalarına göre kurumların %87'si 2026 içinde passkey dağıtımına başladı bile.
Passkey ile Klasik MFA Arasındaki Fark Nedir?
Kriter
Şifre + SMS/Push MFA
Passkey (FIDO2)
Oltalamaya dayanıklılık
Düşük (kullanıcı kandırılabilir)
Yüksek (domain bağımlı)
Ortalama giriş süresi
~69 saniye
~3 saniye
Başarılı giriş oranı
%30
%95
Sunucu sızıntısı riski
Yüksek
Sıfır (gizli anahtar cihazda)
Yardım masası "şifremi unuttum" yükü
Aylık %20-40 çağrı
~%2'ye iner
Microsoft'un kendi telemetri verilerine göre passkey ile giriş, klasik şifre + MFA'ya kıyasla 14 kat daha hızlı. Yardım masası çağrılarındaki düşüş, çoğu işletme için passkey projesinin tek başına yatırım gerekçesi.
KOBİ ve Orta Ölçekli Şirketler İçin Geçişin Maliyeti Nedir?
İyi haber: Microsoft 365 Business Premium, E3 veya E5 aboneliğiniz varsa Entra ID Passkey desteği zaten lisans paketinde dahildir. Ek lisans almanız gerekmez. Yapacağınız tek harcama:
Conditional Access politikası kurulumu (yöneticiler önce, sonra fazlı yayılım)
Kullanıcı eğitimi (15 dakikalık kayıt videosu yeterli)
Tercih edenler için donanım güvenlik anahtarı (YubiKey 5 NFC ~25 USD / kullanıcı, sadece yüksek riskli rollerde — örneğin finans yöneticisi, IT admin)
30 kişilik bir KOBİ için tahmini proje süresi: 2 hafta pilot, 4 hafta kademeli yayılım. Pilot grubu seçimi, Conditional Access kuralları ve geri dönüş senaryoları kritik — bunları tek başınıza kurmak yerine deneyimli bir partnerle planlamanız geçişin sancısız geçmesini sağlar.
Geçişe Nereden Başlamalı?
Mevcut durum tespiti: Hangi kullanıcılar hangi cihazlardan giriyor? Eski Android (8 öncesi) ve Windows 10 cihazlar passkey ile uyumsuz — önce bunları haritalayın.
Authenticator dağıtımı: Tüm çalışanlara Microsoft Authenticator yüklenmesini sağlayın; Intune ile zorunlu uygulama olarak yayınlayabilirsiniz.
Pilot grubu (5-10 kişi): Genelde IT ekibi ve gönüllü "tech-savvy" kullanıcılarla başlayın.
Yedek yöntemi bırakın: Hesap kilitlenmelerini önlemek için passkey + bir adet TAP (Temporary Access Pass) zorunlu.
Conditional Access ile şifreyi yasaklayın: Son adım — bu olmadan passkey sadece "ek bir seçenek" olarak kalır, yatırımın değerini görmezsiniz.
Sık Sorulan Sorular
Çalışanım telefonunu kaybederse ne olur?
Yöneticisi Entra portalinden passkey'i iptal eder, kullanıcı TAP ile yeni cihaza kayıt yapar. Süreç ortalama 10 dakika.
Bankacılık veya muhasebe yazılımlarımız passkey'i destekliyor mu?
Bulut tabanlı SaaS uygulamaların büyük kısmı (Logo, Mikro, Netsis bulut sürümleri, e-fatura portalları) Entra ID üzerinden SSO ile passkey'i otomatik kabul eder. Yerel kurulu klasik ERP'ler için passkey doğrudan çalışmaz; Entra Application Proxy ile sarmalama gerekir.
KVKK denetiminde passkey kullanmak avantaj yaratır mı?
Evet. KVKK'nın "uygun teknik tedbir" yorumunda, oltalamaya dayanıklı MFA giderek "asgari" sayılıyor. Veri ihlali soruşturmalarında MFA tipi sorulduğunda "passkey/FIDO2 kullanıyoruz" diyebilmek somut bir indirgeyici unsur.
Geçişi tek başıma yönetebilir miyim?
Teknik olarak evet, ama pilot tasarımı, Conditional Access kural sıralaması ve eski cihaz uyumluluk haritası en çok hatanın yapıldığı noktalar. Bize ulaşın, 30 dakikalık ücretsiz değerlendirme görüşmesinde mevcut tablonuzu birlikte çıkaralım.
Sonuç
Passkey, "yarın yapsak da olur" listesinden çıkmış bir konu. 2026'nın ikinci yarısında Entra ID'de zaten varsayılan olarak görünecek; pilot çalışmasını şimdiden başlatan şirketler kullanıcı direncini öğrenmiş, yardım masası süreçlerini güncellemiş, denetim hazırlığını çoktan tamamlamış olarak çıkacak. Bekleyenler ise siber sigorta yenilemesinde "neden hâlâ şifre kullanıyorsunuz" sorusuyla yüzleşecek.
Microsoft 365 Business Premium ya da E3/E5 aboneliğiniz varsa donanımınız ve lisansınız hazır — eksik olan sadece doğru geçiş planı. Xen Bilişim olarak 20 yıllık BT yönetim hizmeti deneyimimizle bu süreci pilot'tan tam yayılıma dek size eşlik ederiz. Bize bugün ulaşın, şirketinize özel passkey geçiş yol haritasını birlikte çıkaralım.
Bu Yazıyı Paylaş
Bu yazıyı paylaşın
Başlık, özet ve hashtagler panoya kopyalanır, paylaş penceresi açılır — yapıştırın (Cmd/Ctrl+V) ve gönderin.
Geçen hafta dünya genelinde 7 Mayıs Dünya Passkey Günü olarak kutlandı. Bu ay Microsoft Entra ID kullanan tüm kurumsal hesaplarda Passkey profilleri otomatik açılmaya başlıyor; Haziran ortasında ise Windows üzerinde passkey ile şifresiz giriş genel kullanıma sunulacak. Yıllardır müşterilerimize "şifreden kurtulun" diyoruz, ama 2026 itibarıyla bu artık tercih meselesi olmaktan çıkıyor — KVKK kapsamında "uygun teknik tedbir" yükümlülüğünüz ve siber sigortacıların yeni gereklilik listesi sizi her halükarda buraya zorluyor. Bu yazıda passkey nedir, neden bu kadar önemli, kurumsal geçiş için neyi nereden başlatmalısınız sorularını tek tek cevaplayacağım.
Passkey Nedir, Şifreden Farkı Ne?
Passkey, FIDO2/WebAuthn standartlarına dayanan, telefonunuza veya bilgisayarınıza kayıtlı kriptografik bir anahtar çiftidir. Açık anahtar sunucuda, gizli anahtar cihazda kalır. Giriş yaparken yüz/parmak izi veya cihaz PIN'i ile bu anahtar açılır; sunucu sadece "evet, doğru cihaz, doğru kullanıcı" onayını alır. Sonuç: parolanız asla iletilmez, asla yazılmaz, sunucu sızıntısında çalınacak hiçbir şey yoktur.
Pratikte fark şudur: 20 yıllık BT deneyimimizde gördüğümüz en yaygın iki saldırı — parola sızıntısı ve oltalama (phishing) — passkey'de neredeyse imkânsız. Çünkü passkey kayıtlı olduğu domain dışında çalışmaz. Sahte bir "office365-login.tr" sayfası açsanız bile passkey o adresi tanımadığı için kimlik bilgisi göndermez.
Neden 2026 Geçişin Dönüm Noktası?
Üç şey aynı anda oldu:
Microsoft, Mart 2026 itibarıyla Entra ID'de Passkey Profillerini otomatik açtı. Yani siz hiçbir şey yapmasanız da kullanıcılarınız Authenticator uygulamasında passkey kaydetme önerisi görmeye başladı.
Nisan sonu - Haziran ortası arasında Windows 11'de "Entra passkey ile giriş" özelliği aşamalı olarak GA (genel kullanılabilirlik) statüsüne geçiyor.
NIS2 (Avrupa) ve PCI DSS 4.0 denetim periyotları bu yıl başladı; her ikisi de "phishing-resistant MFA" şart koşuyor ve FIDO2 passkey'i açıkça örnek olarak gösteriyor.
Microsoft'un kendi kurumsal hesaplarında bugün %99.6'sı oltalamaya dayanıklı kimlik doğrulama ile korunuyor. Sektör araştırmalarına göre kurumların %87'si 2026 içinde passkey dağıtımına başladı bile.
Passkey ile Klasik MFA Arasındaki Fark Nedir?
Kriter
Şifre + SMS/Push MFA
Passkey (FIDO2)
Oltalamaya dayanıklılık
Düşük (kullanıcı kandırılabilir)
Yüksek (domain bağımlı)
Ortalama giriş süresi
~69 saniye
~3 saniye
Başarılı giriş oranı
%30
%95
Sunucu sızıntısı riski
Yüksek
Sıfır (gizli anahtar cihazda)
Yardım masası "şifremi unuttum" yükü
Aylık %20-40 çağrı
~%2'ye iner
Microsoft'un kendi telemetri verilerine göre passkey ile giriş, klasik şifre + MFA'ya kıyasla 14 kat daha hızlı. Yardım masası çağrılarındaki düşüş, çoğu işletme için passkey projesinin tek başına yatırım gerekçesi.
KOBİ ve Orta Ölçekli Şirketler İçin Geçişin Maliyeti Nedir?
İyi haber: Microsoft 365 Business Premium, E3 veya E5 aboneliğiniz varsa Entra ID Passkey desteği zaten lisans paketinde dahildir. Ek lisans almanız gerekmez. Yapacağınız tek harcama:
Conditional Access politikası kurulumu (yöneticiler önce, sonra fazlı yayılım)
Kullanıcı eğitimi (15 dakikalık kayıt videosu yeterli)
Tercih edenler için donanım güvenlik anahtarı (YubiKey 5 NFC ~25 USD / kullanıcı, sadece yüksek riskli rollerde — örneğin finans yöneticisi, IT admin)
30 kişilik bir KOBİ için tahmini proje süresi: 2 hafta pilot, 4 hafta kademeli yayılım. Pilot grubu seçimi, Conditional Access kuralları ve geri dönüş senaryoları kritik — bunları tek başınıza kurmak yerine deneyimli bir partnerle planlamanız geçişin sancısız geçmesini sağlar.
Geçişe Nereden Başlamalı?
Mevcut durum tespiti: Hangi kullanıcılar hangi cihazlardan giriyor? Eski Android (8 öncesi) ve Windows 10 cihazlar passkey ile uyumsuz — önce bunları haritalayın.
Authenticator dağıtımı: Tüm çalışanlara Microsoft Authenticator yüklenmesini sağlayın; Intune ile zorunlu uygulama olarak yayınlayabilirsiniz.
Pilot grubu (5-10 kişi): Genelde IT ekibi ve gönüllü "tech-savvy" kullanıcılarla başlayın.
Yedek yöntemi bırakın: Hesap kilitlenmelerini önlemek için passkey + bir adet TAP (Temporary Access Pass) zorunlu.
Conditional Access ile şifreyi yasaklayın: Son adım — bu olmadan passkey sadece "ek bir seçenek" olarak kalır, yatırımın değerini görmezsiniz.
Sık Sorulan Sorular
Çalışanım telefonunu kaybederse ne olur?
Yöneticisi Entra portalinden passkey'i iptal eder, kullanıcı TAP ile yeni cihaza kayıt yapar. Süreç ortalama 10 dakika.
Bankacılık veya muhasebe yazılımlarımız passkey'i destekliyor mu?
Bulut tabanlı SaaS uygulamaların büyük kısmı (Logo, Mikro, Netsis bulut sürümleri, e-fatura portalları) Entra ID üzerinden SSO ile passkey'i otomatik kabul eder. Yerel kurulu klasik ERP'ler için passkey doğrudan çalışmaz; Entra Application Proxy ile sarmalama gerekir.
KVKK denetiminde passkey kullanmak avantaj yaratır mı?
Evet. KVKK'nın "uygun teknik tedbir" yorumunda, oltalamaya dayanıklı MFA giderek "asgari" sayılıyor. Veri ihlali soruşturmalarında MFA tipi sorulduğunda "passkey/FIDO2 kullanıyoruz" diyebilmek somut bir indirgeyici unsur.
Geçişi tek başıma yönetebilir miyim?
Teknik olarak evet, ama pilot tasarımı, Conditional Access kural sıralaması ve eski cihaz uyumluluk haritası en çok hatanın yapıldığı noktalar. Bize ulaşın, 30 dakikalık ücretsiz değerlendirme görüşmesinde mevcut tablonuzu birlikte çıkaralım.
Sonuç
Passkey, "yarın yapsak da olur" listesinden çıkmış bir konu. 2026'nın ikinci yarısında Entra ID'de zaten varsayılan olarak görünecek; pilot çalışmasını şimdiden başlatan şirketler kullanıcı direncini öğrenmiş, yardım masası süreçlerini güncellemiş, denetim hazırlığını çoktan tamamlamış olarak çıkacak. Bekleyenler ise siber sigorta yenilemesinde "neden hâlâ şifre kullanıyorsunuz" sorusuyla yüzleşecek.
Microsoft 365 Business Premium ya da E3/E5 aboneliğiniz varsa donanımınız ve lisansınız hazır — eksik olan sadece doğru geçiş planı. Xen Bilişim olarak 20 yıllık BT yönetim hizmeti deneyimimizle bu süreci pilot'tan tam yayılıma dek size eşlik ederiz. Bize bugün ulaşın, şirketinize özel passkey geçiş yol haritasını birlikte çıkaralım.
Telefon : 0850 259 5949
