Microsoft Authenticator artık parolalarınızı ya da çoğu geçiş anahtarını yönetmeyecek.

Merhaba

Microsoft’un şu anda desteklediği tek geçiş anahtarı türü, cihaza bağlı (senkronize edilemeyen) geçiş anahtarıdır.
İşte bu durumun sizin ve kimlik bilgisi yönetim planlarınız açısından anlamı:

• Microsoft, parolalar yerine geçiş anahtarlarının kullanılmasını güçlü şekilde destekleyen bir şirkettir.
• Authenticator artık parolalarınızı kaydetmeyecek.
• Ancak Authenticator, kapsamlı bir geçiş anahtarı yöneticiniz olamaz.
• Bu rolü bir gün büyük ihtimalle Edge tarayıcısı üstlenecek, ancak henüz orada değil.

Bu yılın büyük bir bölümünde Microsoft, kullanıcılarını kimlik bilgisi (kullanıcı adı ve parola) yönetimi için Authenticator mobil uygulamasını artık kullanamayacakları konusunda uyarıyordu.

CNET’in 29 Temmuz 2025 tarihli haberine göre:

“Haziran ayında, şirket kullanıcıların Authenticator’a yeni parolalar eklemesini durdurdu… Ve 1 Ağustos’tan itibaren, kayıtlı parolalar artık kullanılamayacak.”

Yani 1 Ağustos 2025 itibarıyla Microsoft Authenticator, sadece kimlik doğrulama kodları için kullanılabilecek; parola yöneticisi işlevi tamamen sona eriyor.

Bana göre, yaklaşan bu felaket günü benzeri son tarih için yapılan karamsar uyarılar, 1 Ocak 2000 öncesinde yaşanan süreci – yani meşhur “Y2K problemi“ni – hatırlatıyor. O dönemde, yazılımlarının 21. yüzyılda hâlâ kullanılacağı ihtimalini göz önünde bulundurmayan programcılar nedeniyle bilgisayarların her yerde çöküş yaşayacağı öngörülüyordu.

Büyük Geçiş: Parolalardan Geçiş Anahtarlarına

Ancak bu konuda yapılan haberlerin çoğu, şu anda Microsoft’un kimlik yönetimi portföyü genelinde gerçekleşen daha büyük dönüşümü gözden kaçırıyor.
Ve çoğu zaman, Microsoft Authenticator ile Microsoft Edge tarayıcısının gelecekte oynayacağı rollerle ilgili önemli ayrıntılar eksik kalıyor.
Oysa şu anda tüm dünyada devam eden bir başka büyük değişim daha var: parolalardan geçiş anahtarlarına geçiş süreci.

Geçiş Anahtarı: Tartışmasız Şekilde Daha Güvenli

Geçiş anahtarı, web siteleri ve uygulamalara giriş yaparken parolalardan açık ara daha güvenli bir kimlik doğrulama yöntemidir.

• Geçiş anahtarları tahmin edilemez.
• Aynı geçiş anahtarı, farklı web siteleri ve uygulamalarda tekrar kullanılamaz.
• Phishing (oltalama), smishing (sahte SMS), squishing (kötü niyetli uygulamalar) ve malvertising (zararlı reklamlar) gibi yöntemlerle sizi kandırarak geçiş anahtarınızı ele geçirmek mümkün değildir.

Hatta kullanıcı adı ve parolayı çok faktörlü kimlik doğrulama (MFA) ile destekliyor olsanız bile, geçiş anahtarları daha güvenli ve daha güçlü bir alternatiftir.

Aslında, son kullanıcıları geçiş anahtarlarına yönlendiren büyük teknoloji şirketleri arasında, kullanıcıları bu geçişe Microsoft kadar güçlü şekilde zorlayan başka bir şirket yok.

Ancak Microsoft bu geçiş için agresif bir kampanya yürütürken, aynı zamanda hâlâ bekliyoruz:
Microsoft’un, bu geleceği gerçekten destekleyecek düzeyde kapsamlı kimlik bilgisi (credential) yönetim yeteneklerini sunmasını.

Authenticator Sonrası Parola Yönetimi

Kullanıcı kimlik bilgilerini (kullanıcı adı ve parolalar) Microsoft Authenticator üzerinden yöneten ve yine Microsoft tabanlı çözümlerle devam etmek isteyen kullanıcılar için tek seçenek, parolalarını Microsoft Authenticator’dan Microsoft’un Edge web tarayıcısına aktarmaktır.

Kullanıcılar bu işlemi gerçekleştirdikten sonra:

• Edge, kullanıcı adı ve parola yönetiminde Authenticator’ın yerini alır,
• Giriş sırasında bu kimlik bilgilerini otomatik olarak doldurur (autofill),
• Ve bu kimlik bilgilerini kullanıcının diğer Edge yüklü cihazlarına senkronize eder.

Edge, yalnızca Windows’ta değil; aynı zamanda MacOS, iOS, Android ve Linux platformlarında da kullanılabilir.
Microsoft Authenticator yalnızca iOS ve Android ile sınırlı olduğundan, Edge’in çok daha geniş platform desteği sayesinde kimlik bilgisi yönetimi ve otomatik doldurma işlemlerini Edge’in üstlenmesi çok daha mantıklıdır.

Bu yaklaşım, yani Microsoft’un kimlik bilgisi yönetimini bir mobil uygulama yerine tarayıcı üzerinden sağlaması, Google’ın Chrome tarayıcısı üzerinden parola yönetimi ve otomatik doldurma işlemlerini sunma yöntemine oldukça benzemektedir.

Her iki tarayıcı da Chromium tabanlıdır ve kullanıcılara temel düzeyde parola yönetimi yetenekleri sunar.
Ayrıca her ikisi de, kimlik bilgilerinin diğer cihazlardaki aynı tarayıcıya senkronize edilmesini sağlamak için merkezi bir bulut altyapısına dayanır.

Senkronize Edilemeyen Geçiş Anahtarlarıyla İlgili Sorun

Ancak bu makalenin yayımlandığı tarih itibarıyla, Chrome hem parolaları hem de geçiş anahtarlarını (passkey) otomatik olarak doldurabiliyor ve diğer cihazlardaki Chrome kurulumlarına senkronize edebiliyorken, Edge sadece parolaları senkronize edebiliyor.

Bu makale için görüşülen bir Microsoft sözcüsüne göre:

“PayPal ve eBay gibi hizmetler için oluşturulan geçiş anahtarları, Windows’ta cihaza bağlı kimlik bilgileri olarak saklanır ve Ayarlar > Hesaplar > Geçiş Anahtarları yoluyla erişilebilir.
Bu geçiş anahtarları Edge üzerinde saklanmaz veya senkronize edilmez.”

Başka bir deyişle:

• Edge’in Windows sürümü, oturum açma sırasında geçiş anahtarlarını yönetebilir ve otomatik olarak doldurabilir.
• Ancak Edge’in diğer sürümleri (örneğin Android, iOS, macOS) bu işlevi yerine getiremez.

Bunu bizzat test ederek doğruladım:
Edge for Android üzerinden eBay için bir geçiş anahtarı kaydetmeye çalıştığımda, işlem tamamlanamadı.

Edge for Windows kullanırken eBay için geçiş anahtarı kaydı seçeneği mevcutken, Edge for Android üzerinde böyle bir seçenek bana sunulmadı.
Bunun ötesinde, Windows üzerinde oluşturduğum eBay geçiş anahtarı, Android’deki Edge kopyama senkronize edilemedi.

Bu durum, Microsoft sözcüsünün “geçiş anahtarlarının Windows’ta cihaza bağlı kimlik bilgileri olarak saklandığı” yönündeki açıklamasını doğruluyor.
Cihaza bağlı geçiş anahtarları, aynı zamanda “senkronize edilemeyen geçiş anahtarları (non-syncable passkeys)” olarak da bilinir.
Bunlar, oluşturuldukları cihaza bağlıdırlar ve başka bir cihaza senkronize edilemezler.

Benim durumumda, Windows 11 yüklü bilgisayarımda Edge üzerinden oluşturduğum geçiş anahtarı, Windows Hello aracılığıyla HP Notebook’umdaki Güvenilir Platform Modülü (TPM) ile eşleştirilmişti.

Peki Senkronize Edilebilen Geçiş Anahtarları Nerede?

Bu durum şu soruyu gündeme getiriyor:
Microsoft’un ürün portföyü genelinde, senkronize edilebilen geçiş anahtarlarına (syncable passkeys) destek nerede sağlanacak?

Çünkü senkronize geçiş anahtarları, destekleyen web siteleri ve uygulamalar için en kullanışlı seçenek konumunda.
Üstelik Microsoft zaten Edge üzerinden senkronize kullanıcı adı ve parolaları destekliyor.

Sonuç olarak, kullanıcıların büyük çoğunluğu her site ve uygulama için ayrı ayrı cihaza bağlı geçiş anahtarları yönetmek istemez.
Tıpkı bir parola gibi, tek bir geçiş anahtarıyla tüm cihazlardan erişim sağlamak, çok daha kullanıcı dostu bir çözümdür.

Geçiş Anahtarı Yönetim Seçenekleriniz Şu Anda Ne Durumda?

İşte kafa karışıklığının başladığı nokta burası.
Microsoft Authenticator uygulamasının kullanıcı adı ve parola desteğini kaldıracağı yönündeki haberleri yayımlayan çoğu makalede, aynı zamanda Authenticator’ın geçiş anahtarlarını desteklemeye devam edeceği ve kullanıcıların bu geçiş anahtarlarıyla kimlik doğrulama (giriş) yapmayı sürdürebileceği de belirtildi.

Aslında bu şaşırtıcı değil. Çünkü Microsoft’un Authenticator’daki değişikliklerle ilgili resmî duyurusunda açıkça şu ifade yer alıyor:

“Authenticator geçiş anahtarlarını desteklemeye devam edecektir. Microsoft Hesabınız için geçiş anahtarları ayarladıysanız, Authenticator uygulamasının Geçiş Anahtarı Sağlayıcınız olarak etkin kaldığından emin olun. Authenticator’ı devre dışı bırakmak, geçiş anahtarlarınızı da devre dışı bırakacaktır.”

Bu ifade gerçekten ilgimi çekti.
İlk bakışta sanki Microsoft, kullanıcı adı ve parola yönetimini tamamen Edge’e taşıyor, ama aynı anda geçiş anahtarı yönetimini Authenticator ile Windows için Edge arasında bölüyormuş gibi görünüyordu.
Halbuki olması gereken, tıpkı Chrome’da olduğu gibi, senkronize parolalar ve senkronize geçiş anahtarları için tam desteğin Edge’e taşınması olurdu.

Bu nedenle, tüm durumu doğru anlayıp anlamadığımı teyit etmek için tekrar Microsoft’a döndüm.
Görünüşe göre doğru anlamamışım.

Microsoft sözcüsü bana şöyle dedi:

“Authenticator, Entra hesapları için her zaman cihaza bağlı geçiş anahtarlarını desteklemeye devam edecek. Bugün ve gelecekte her zaman bunlardan birini oluşturabileceksiniz.”

Bu açıklamada açılması gereken çok fazla konu var.

• Authenticator tarafından yönetilen geçiş anahtarları, aynı zamanda cihaza bağlı geçiş anahtarlarıdır (başka bir deyişle, senkronize edilemezler).
• Ayrıca Authenticator’daki bu geçiş anahtarı desteği, Microsoft Entra ID kullanıcıları içindir. (Microsoft Entra ID, daha önce Azure Active Directory olarak bilinen, Microsoft’un işletmelere yönelik bulut tabanlı kimlik yönetim çözümüdür.)

Yani özetle, Microsoft Authenticator’daki geçiş anahtarı desteği, sadece kurumsal kullanıcılar içindir.
Kendi kimlik bilgilerini yönetmek isteyen bireysel kullanıcılar için geçerli değildir.
Ve halen senkronizasyon desteğinden yoksundur.

Kısacası:

Biz genel kullanıcılar – yani kullanıcı adı, parola ve geçiş anahtarlarını tek bir yerde yönetmek ve kullanmak isteyenler – için Microsoft’un sunduğu tek seçenek var:
Windows üzerinde çalışan Edge tarayıcısı.

Ama sorun şu ki:

• Ne Edge for Windows,
• Ne de Entra ID kullanıcıları için Microsoft Authenticator,

geçiş anahtarı senkronizasyonunu desteklemiyor.

Microsoft’un şu anda desteklediği tek geçiş anahtarı türü,
Cihaza bağlı (senkronize edilemeyen) geçiş anahtarıdır.

Bu elbette ki ideal bir çözüm değil ve Microsoft’un geçiş anahtarlarını bu kadar yoğun şekilde tanıttığı düşünülürse, şirketin içinden pek çok kişinin de buna katılacağını tahmin ediyorum.

Sonuç – Uçtan Bakıldığında Manzara

Duruma bir 30.000 feet yüksekliğinden baktığımda şunu görüyorum:

Microsoft’un kimlik bilgisi yönetiminde rol oynayan birçok farklı teknolojisi var:

• Windows
• Windows Hello
• Microsoft Authenticator
• Edge tarayıcısı
• Microsoft Wallet
• Microsoft Entra ID
• Geçiş Anahtarları (Passkeys)

Ancak bu teknolojileri, Microsoft’un kullanıcılarına vaat ettiği güvenli, modern kimlik yönetimi vizyonunu gerçekten hayata geçirecek şekilde aynı hizada toplamak yani “satranç taşlarını ideal pozisyona yerleştirmek” kulağa geldiği kadar kolay değil.

Bir satranç oyuncusunun ve rakibinin her zaman birkaç hamleyi önceden düşünmesi ve planlaması gibi,
Microsoft’un da er ya da geç (muhtemelen çok da uzak olmayan bir gelecekte) tüm Edge sürümleri genelinde senkronize edilebilen geçiş anahtarlarını destekleyeceğini öngörmemek elde değil.

Tıpkı şu anda kullanıcı adı ve parolalar için sağlanan senkronizasyon gibi ve tıpkı Chrome’un şu anda yaptığı gibi.

Çünkü Microsoft’un, parolaların Authenticator’dan Edge’e taşınması gerektiğine dair yaptığı güçlü ve açık çağrılar,
bu adımın kaçınılmaz ve mantıklı son hamle olduğunu zaten gösteriyor.

Ama o son satranç hamlesi gerçekleşene kadar, kullanıcılar için başka seçenekler de var.

Google’ın sunduğu çözümlerin yanı sıra, aşağıdaki gibi üçüncü parti parola yöneticileri,
senkronize edilebilen geçiş anahtarlarını ve parolaları tek bir çatı altında yönetme imkanı sunuyor:

• 1Password
• Bitwarden
• Dashlane
• LastPass
• NordPass
  vb.

Yani Microsoft bu alanda hedefe ulaşana kadar, alternatif sağlayıcılar şimdilik en bütüncül çözüm olarak öne çıkıyor.