Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Geçiş anahtarları, dijital kimlik bilgileri ve daha fazlasıyla kimlik doğrulama sürecini modernleştirme

Eiji Kitamura

Natalia Markoborodova

Yayınlanma tarihi: 21 Mayıs 2026

Google I/O 2026'da, oturum açmanın zor olmadığı bir web'den bahsettik. Kullanıcıların kendilerini güvende hissetmelerini sağlayan güvenli ve basitleştirilmiş bir giriş noktası olmalıdır. Bu gönderide, hesap akışlarınızı nasıl düzeltebileceğiniz, sürtünmeyi nasıl azaltabileceğiniz ve kullanıcıları en başından nasıl koruyabileceğiniz özetlenmektedir.

Hızlı erişim

Modernizasyonun önemi
Hesap oluşturma sürecini kolaylaştırma
Sorunsuz özellik doğrulama
Sorunsuz oturum açma için geçiş anahtarlarını uygulama
Stratejik geçiş anahtarı kullanımı
Geçiş anahtarı yönetimi ve esnek kurtarma

Modernizasyonun önemi

Zorlu akışlar (ör. karmaşık kayıt formları, sinir bozucu "şifremi unuttum" döngüsü veya giriş düğmeleri duvarı) kullanıcıların keyfini kaçırır. Bunlar, kullanıcıları uzaklaştıran "bağlam değiştirme katilleri"dir. Eski tarz şifreler ve tek kullanımlık şifreler (OTP'ler) de kullanıcıları kimlik avı saldırılarına karşı savunmasız bırakır.

Her saniye sürtünme, kullanıcının ayrılmasına neden olabilir. Kimlik doğrulama sürecinizi modernleştirmek, sistemlerinizi ve kullanıcılarınızı korur. Kimlik yolculuğundaki her temas noktasını sorunsuz hale getirerek dönüşüm oranlarınızı doğal olarak artırırsınız. Örneğin, pixiv, geçiş anahtarlarını uyguladıktan sonra % 99 gibi şaşırtıcı bir giriş başarısı oranı elde etti (şifrelere kıyasla% 29'luk bir iyileşme). Zayıf kimlik bilgilerini kullanmayı bırakmak, işlemleri daha hızlı ve güvenli hale getirir.

Hesap oluşturma sürecini kolaylaştırma

Kullanıcının uygulamanızla kurduğu ilk etkileşim, uygulamanın genel atmosferini belirler. Hesap oluşturma sürecini kolaylaştırmak, kullanım oranını ve güvenliği artırmaya yönelik ilk adımdır.

Birincil ana hesap oluşturma yöntemi olarak kimlik federasyonu

Kullanıcılarınızın, Google gibi güvenilir bir sağlayıcıyla kaydolmasına olanak tanıyan kimlik federasyonu özelliğini kullanarak sıkıcı hesap oluşturma formlarını atlamasına izin verebilirsiniz. Bu sayede, kullanıcılara tipik kayıt işlemlerinin "zahmeti" olmadan uygulamanıza erişmelerini sağlayan güçlü ve kolaylaştırılmış bir kayıt deneyimi sunulur.

Federasyon, kullanıcıların adlarını veya e-posta adreslerini manuel olarak yazmak zorunda kalmaması anlamına gelir. Sağlayıcı bu kişileri zaten doğruladığı için, bunları bağımsız olarak doğrulama ile ilgili gereksiz adımları atlayabilir ve daha fazla kişinin kapıdan içeri girmesini sağlayabilirsiniz.

Ayrıca, federasyon kimliği çözümünü benimseyerek özel bir IdP'nin (Kimlik Sağlayıcı) güvenlik seviyesini devralabilirsiniz. Kimlik sağlayıcılar kimlik ve güvenlik konusunda uzmanlaştığından, altyapılarını kullanmak kimlik doğrulama işlemini sıfırdan oluşturma riskini ortadan kaldırır.

Birleşik Kimlik Bilgisi Yönetimi (FedCM) API'sini kullanma

Kimlik sağlayıcı olarak hareket ediyorsanız FedCM API'yi kullanmanızı öneririz. Bu, etkileşimi tarayıcı kullanıcı arayüzü üzerinden gerçekleştirir. Bu sayede, izlemeyi önleyerek gizliliği korur, kullanıcılara tek dokunuşla oturum açma imkanı sunar ve yalnızca alakalı hesapları göstererek kullanıcı arayüzünü basitleştirir.

Masaüstünde, kullanıcıdan hesabıyla oturum açmasını isteyen etkin modda bir FedCM oturum açma iletişim kutusu. İletişim kutusunda bir markalama simgesi ve RP'ye IdP tarafından sağlanan mevcut hesapla giriş yapma, farklı bir hesap seçme veya iptal etme seçenekleri yer alır. İletişim kutusu ortalanır ve pasif mod iletişim kutusundan daha büyüktür. — FedCM: Etkin mod kullanıcı arayüzü iletişim kutusu. FedCM'nin sağladığı kullanılabilir kullanıcı arayüzü modları hakkında daha fazla bilgi edinin.

"Federate-then-upgrade" (Önce federasyon oluşturma, sonra yükseltme) deseni

Birleştirme ve ardından yükseltme, birleştirmenin hızını geçiş anahtarlarının uzun vadeli güvenliğiyle birleştirir. Federasyon oturum açma işleminden hemen sonra geçiş anahtarı isterseniz kullanıcının bir sonraki oturum açma işlemi ilk günden itibaren kimlik avına karşı dirençli olur.

Formları otomatik doldurma için optimize etme

Manuel formlar gerekliyse tarayıcının alanları kullanıcı için doldurmasına izin vermek üzere açıklayıcı name ve id özellikleri ile doğru autocomplete değerlerini kullanın. Bu sayede, kayıt işlemi sırasında bilişsel yük ve yazım hatası olasılığı azalır. Form optimizasyonu hakkında daha fazla bilgi için Kayıt formuyla ilgili en iyi uygulamalar sayfamızı inceleyin.

<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">

<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">

Sorunsuz özellik doğrulaması

Kullanıcıların e-postalarındaki kodu kontrol etmek için uygulamanızdan ayrılmaları dönüşüm oranlarını düşürür. Bu bağlam değişikliği, kullanıcıların dikkatini dağıtıp bir daha geri dönmemesine neden olur.

E-posta Doğrulama Protokolü'ne (EVP) uyma

Gelişmekte olan bir özellik olan E-posta Doğrulama Protokolü (EVP), uygulamanızın doğrudan tarayıcı üzerinden doğrulanmış bir e-posta adresi almasına olanak tanır.

Bu özelliği kullanmak için autocomplete="email-verification-token" özelliği ve challenge ile gizli bir giriş alanı ekleyin. Tarayıcı, girişten e-posta alanını ayrıştırır ve e-posta veren kuruluştan kullanıcının bu e-postayı kontrol ettiğini doğrulamasını ister. Doğrulama başarılı olduğunda tarayıcı, arka uçunuzun anında doğrulayabileceği doğrulanmış bir e-posta talebi sunar. Bu akış, kullanıcı için sorunsuz bir şekilde gerçekleşir. Kullanıcı yalnızca e-posta doğrulamasından sonra bir bildirim görür.

EVP, oturum açma, kaydolma ve şifre sıfırlama işlemlerinde kullanıcıları uzaklaştıran sürtünme noktalarını (ör. sihirli bağlantılar veya e-posta OTP'leri) ortadan kaldırır.

<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">

EVP'nin desteklenmesi, e-posta servis sağlayıcılarının sorumluluğundadır. EVP'yi desteklemeyi planlayıp planlamadığını öğrenmek için sağlayıcınızla iletişime geçin. Özel bir alanınız varsa EVP'yi desteklemek için bu alanı desteklenen bir e-posta sağlayıcısına bağlayabilirsiniz.

Bu özellik hâlâ deneysel aşamada olduğundan GitHub deposunda geri bildiriminizi bekliyoruz.

E-posta Doğrulama Protokolü (EVP) akışının örneği.

Digital Credentials API

Yasal ad veya yaş gibi hassas ayrıntılar için Digital Credentials API, seçici açıklama kullanılarak tarayıcı aracılığıyla kullanıcının cüzdanından doğrulanmış veri isteme yöntemi sunar. Bu sayede, kullanıcının tam doğum tarihini veya yasal adını almadan belirli bir yaşın üzerinde olduğunu doğrulayabilir ve gizliliğini koruyabilirsiniz.

Digital Credentials API: Secure and private identity on the web (Dijital Kimlik Bilgileri API'si: Web'de güvenli ve gizli kimlik) başlıklı makaleyi inceleyin.

Sorunsuz oturum açma için geçiş anahtarlarını uygulama

Geçiş anahtarları, şifrelerin yerine kullanabileceğiniz bir alternatiften çok daha fazlasıdır. Bu anahtarlar, kimlik avına dayanıklı sorunsuz kimlik doğrulamaya yönelik temel bir geçişi temsil eder.

Anında kullanıcı arayüzü modu

Chrome 149'dan itibaren Anında Kullanıcı Arayüzü Modu kullanılabilir. Bu özellik, kullanıcı sitenize gittiği anda web sitesinin kimlik bilgilerini kontrol etmesine olanak tanır. Şifre yöneticisinde geçiş anahtarı veya şifre varsa tarayıcı, oturum açma iletişim kutusunda kullanılabilir hesapların listesini göstererek akışı hemen yönetir.

Bu sayede kullanıcının oturum açma yöntemi seçmesine gerek kalmaz. Seçilen hesap için kimlik bilgisini proaktif olarak sunarak, kullanıcıya sihirli bir deneyim yaşatan sorunsuz bir "One Tap" deneyimi oluşturursunuz.

const credential = await navigator.credentials.get({
  password: true,
  uiMode: 'immediate',
  publicKey: publicKeyObject,
});

Girişler için anında kullanıcı arayüzü modu başlıklı makaleyi inceleyin.

Geçiş anahtarı formu otomatik doldurma: Geçiş anahtarlarına geçerken formu otomatik doldurma özelliğini kullanma

Şifrelerden geçiş anahtarlarına geçiş yapan bir web sitesindeki kullanıcılar için geçiş anahtarı formunu otomatik doldurma özelliği, giriş alanına odaklanıldığında geçiş anahtarlarının otomatik doldurma önerilerinde görünmesini sağlar. Bu, kullanıcının zaten bir geçiş anahtarı varsa oturum açma formunda kullanıcı adı alanına odaklandığı anda geçiş anahtarı oluşturma isteminin gösterileceği anlamına gelir. Kullanıcılar bunu yapmazsa kayıtlı şifreyi kullanmaya devam edebilir.

Form otomatik doldurma yoluyla geçiş anahtarı seçimine örnek.

Bu özelliği etkinleştirmek için kullanıcı adı alanınıza autocomplete="username webauthn" ile açıklama ekleyin ve mediation değerini 'conditional' olarak ayarlayın.navigator.credentials.get()

Bu özellik, kullanıcıları tanıdık bir arayüzde şifre anahtarlarıyla tanıştırdığı için şifresiz bir geleceğe geçiş sürecinde önemli bir köprü görevi görür.

Geçiş anahtarı kimlik doğrulama kontrol listesine bakın.

Stratejik geçiş anahtarı kullanımı

Benimseme genellikle zamanlamayla ilgilidir. Kullanıcıya doğru zamanda istem göstermek, geçiş anahtarı kaydetme olasılığını önemli ölçüde artırabilir.

Otomatik geçiş anahtarı oluşturma

Hiç kimse yeni bir giriş yöntemi ayarlamak için güvenlik ayarlarını incelemek istemez. Mevcut şifre kullanıcılarına, geçiş anahtarlarına yükseltme yapmaları için nasıl ve ne zaman istem göndermelisiniz?

Otomatik geçiş anahtarı oluşturma özelliği bu noktada devreye girer. Koşullu Oluşturma ile tarayıcı, kullanıcılar şifre yöneticileriyle giriş yaptıkları anda şifre kullanıcılarını otomatik olarak geçiş anahtarlarına yükseltebilir.

Koşullu oluşturma içeren geçiş anahtarı isteği akışı.

Kullanıcının şifre yöneticisine kaydedilen şifreyi kullanarak yaptığı son başarılı oturum açma işlemiyle tetiklenen navigator.credentials.create() API'ye mediation: 'conditional' iletilerek tarayıcı, kullanıcıyı ek kurulum ekranlarından geçirmeye zorlamadan yerel olarak yeni bir geçiş anahtarı oluşturur.

Sorunsuz kayıt sayesinde kullanıcıların güvenliklerini iyileştirmek için bilinçli bir karar vermeleri gerekmez. Bu işlem otomatik olarak gerçekleşir ve ek bir çaba gerektirmeden kullanıcıları korur. Örneğin, adidas, bu sıfır istemli stratejiyi kullanarak geçiş anahtarı oluşturma sayısında% 8 artış elde etti.

await navigator.credentials.create({
  mediation: 'conditional',
  publicKey: { ... },
});

Geçiş anahtarı kaydı yapılacaklar listesini inceleyin.

Geçiş anahtarı yönetimi ve esnek kurtarma

Kullanıcıların kimlik bilgilerine cihazlarda, web sitelerinde ve hizmetlerde kolayca erişebilmesi önemlidir. Ayrıca, cihaz kaybolur veya çalınırsa hesaplarını kurtarabilmelerini sağlayabilirsiniz.

Platformlar arası tutarlılık

Giriş sistemi paylaşan birden fazla mülkünüz (ör. bir Android uygulaması ve bir web sitesi veya birden fazla web sitesi) varsa kullanıcılarınızın deneyimini iyileştirebilirsiniz. Otomatik kimlik bilgisi paylaşımı sayesinde Şifre Yöneticileri, tüm mülklerinizde kullanıcınıza doğru kimlik bilgisini önerebilir.

Sorunsuz kimlik bilgisi paylaşımı iki teknolojiden oluşur: şifreler için Digital Asset Links ve geçiş anahtarları için Related Origin Requests.

Digital Asset Links'i kullandığınızda web'de oluşturulan şifreler Android uygulamanızda, Android uygulamanızda oluşturulan şifreler ise web'de kullanılabilir. Ayrıca, şifre yöneticilerinin, aynı kimlik doğrulama arka ucunu paylaşan ve size ait olan farklı alanlarda önceden kaydedilmiş kimlik bilgilerini önermesine de olanak tanır.

Kullanıcınızın kimlik bilgisi yöneticisi aracılığıyla farklı alanlarda ve uygulamalarda geçiş anahtarlarını kullanılabilir hale getirmek için İlgili Kaynak İstekleri'ni kullanın.

Bu, kullanıcılarınız için oturum açma deneyimini daha sorunsuz hale getirmenin bir başka yoludur.

Kullanıcılara geçiş anahtarı yönetim sayfası sunma

İyi uygulamaları gösteren bir geçiş anahtarı yönetimi sayfası örneği.

Gelişmiş bir geçiş anahtarı deneyimi için, net sağlayıcı adları, kullanım süreleri ve kontrolleri desteği sunan özel bir geçiş anahtarı yönetim sayfası oluşturmanızı öneririz. Bu sayede kullanıcılar ayarlarını güvenle yönetebilir. Şeffaflık güven oluşturur.

Geçiş anahtarı yönetimi kontrol listesini inceleyin.

Esnek hesap kurtarma

Cihazlar kaybolabilir veya yükseltilebilir. Geçiş anahtarları, donanım düzeyinde koruma kullandıkları ve genellikle bulutta senkronize edildikleri için doğası gereği dayanıklıdır. Bu sayede kullanıcılar, geçiş anahtarlarını yeni bir cihazda geri yükleyebilir. Ancak, doğrulanmış bir e-posta adresi gibi yedek bir yöntem kullanmak, kullanıcılarınızın dijital hayatlarına erişimlerini kaybetmemelerini sağlar.

Bir kullanıcının yardım masası araması için beklemesini sağlamak yerine, kimlik federasyonu veya e-posta doğrulaması gibi zaten güvendiğiniz sinyalleri kullanarak kullanıcının sahip olduğunu kanıtlayabilirsiniz.

Bu sinyalleri bir kurtarma stratejisinde birleştirmek, erişimi anında geri yüklemenize olanak tanır. Kullanıcı geri döndüğünde, kimlik avına karşı tekrar korunması için hemen yeni bir geçiş anahtarı kaydettirin.

Oturumları DBSC ile koruma

Kullanıcıları hesaplarının ele geçirilmesinden korumak için oturum çerezlerinin güvenliğini sağlamak da önemli bir savunma katmanıdır. Cihaza Bağlı Oturum Kimlik Bilgileri (DBSC), oturumları donanıma bağlamanıza olanak tanır. Bu sayede, oturum çalma riski azaltılır. Çerez çalınsa bile yalnızca aynı cihaz, çerezin yeniden verilmesini isteyebilir. Bu da oturumunuza etkili bir şekilde başka bir güvenlik katmanı ekler.

DBSC, Windows'da kullanılabilen deneysel bir özelliktir. Bu güncelleme hakkında daha fazla bilgiyi Windows'da Cihaz Bağlı Oturumu Kimlik Bilgileri duyurusunda bulabilirsiniz. Ayrıca DBSC desteğini macOS'e de getirmek için çalışıyoruz.

Geçiş anahtarlarıyla ilgili temsilci becerileri

Modern Web Guidance projemize, bu yayında açıklanan birçok yönü kapsayan geçiş anahtarı becerilerini ekledik. Yakında geçiş anahtarı becerileriyle ilgili özel bir blog yayını yayınlayacağız.

Kimlik doğrulamanın geleceğini inşa etmeye hazır mısınız?

Ayrıntılı rehberlerimizi inceleyin ve modernleştirmeye bugün başlayın: