Çok faktörlü kimlik doğrulama (MFA) siber güvenliğin temel taşlarından biri haline geldi. Ancak SMS tabanlı kodların güvenilirliğinin sorgulandığı günümüzde, kullanıcıların önünde iki güçlü seçenek bulunuyor: donanım güvenlik anahtarları (FIDO2/WebAuthn) ve TOTP (Zaman Tabanlı Tek Kullanımlık Şifre) uygulamaları. Peki hangisi daha güvenli, hangisi daha kullanışlı? Bu yazıda iki yöntemi her açıdan karşılaştırarak doğru seçimi yapmanıza yardımcı olacağız.
Donanım Güvenlik Anahtarı Nedir?
Donanım güvenlik anahtarı, USB, NFC veya Bluetooth aracılığıyla bilgisayarınıza veya telefonunuza bağlanan fiziksel bir cihazdır. FIDO2 standardını kullanan bu anahtarlar, özel anahtarın cihazda saklanması ve her oturum açma işleminde kriptografik imza oluşturulması prensibiyle çalışır. Örneğin YubiKey, Google Titan Key veya Thetis gibi markalar yaygındır. Kimlik avına (phishing) karşı doğal bir koruma sağlar çünkü imza yalnızca kayıtlı web sitesinin alan adına özel olarak üretilir.
TOTP Uygulaması Nedir?
TOTP (Time-based One-Time Password), Google Authenticator, Microsoft Authenticator veya Authy gibi uygulamalar aracılığıyla her 30 saniyede bir değişen 6 haneli kod üretir. Bu kodlar, sunucu ve kullanıcı arasında paylaşılan bir sır (seed) ve zaman damgası kullanılarak hesaplanır. TOTP, SMS’e göre daha güvenli olsa da phishing saldırılarına karşı zayıftır: kullanıcı kodu sahte bir sitede girerse saldırgan kodu ele geçirebilir.
Karşılaştırma Tablosu
| Özellik | Donanım Güvenlik Anahtarı (FIDO2) | TOTP Uygulaması |
|---|---|---|
| Güvenlik Seviyesi | Çok yüksek – özel anahtar cihazdan çıkmaz; phishing’e karşı dayanıklı | Orta – kod paylaşılabilir; phishing ve ortadaki adam saldırılarına açık |
| Phishing Direnci | Evet – alan adına özel imza sayesinde | Hayır – kod her sitede aynı |
| Kullanım Kolaylığı | Fiziksel cihaz taşıma gerektirir; NFC/ USB ile hızlı | Telefon üzerinden anında erişim; çoklu cihazda senkronizasyon mümkün |
| Maliyet | 20–50 USD (tek seferlik) | Ücretsiz (uygulama indirme) |
| Yedekleme/Kurtarma | Yedek anahtar oluşturulmalı; kaybolursa hesap kilidi riski | Kurtarma kodlarıyla kolay yedekleme; bulut senkronizasyonu (ör. Authy) |
| Cihaz Bağımlılığı | Her platformda çalışır (USB-C, Lightning, NFC) | Akıllı telefon gerektirir; bazı uygulamalar bilgisayarda da çalışır |
| Uyumluluk | WebAuthn desteği olan siteler (Google, GitHub, Twitter, Microsoft vb.) | Hemen hemen tüm platformlar (TOTP standartı) |
Hangi Durumda Hangisi Tercih Edilmeli?
Donanım Güvenlik Anahtarı Ne Zaman İdeal?
- Yüksek riskli hesaplar (e-posta, finans, yönetici portalları) için.
- Sık sık phishing saldırılarına maruz kalan kişiler (gazeteciler, aktivistler, BT yöneticileri).
- Fiziksel güvenliğe önem veren ve cihazını kaybetme riskini minimize eden kullanıcılar.
- Birden fazla platformda (Windows, macOS, Android, iOS) sorunsuz çalışması isteniyorsa.
TOTP Uygulaması Ne Zaman Yeterli?
- Maliyet hassasiyeti olan bireysel kullanıcılar.
- Çok sayıda hesabı tek bir uygulamada yönetmek isteyenler.
- Fiziksel anahtar taşımak istemeyen veya unutma riskini almak istemeyenler.
- Bulut yedekleme sayesinde cihaz değişikliklerinde hesaplara erişimi kolayca geri kazanmak isteyenler.
Güvenlik Açıkları ve Dikkat Edilmesi Gerekenler
Donanım anahtarları fiziksel olarak çalınabilir – ancak PIN/PUV koruması ve biyometrik özelliklerle bu risk azaltılır. TOTP uygulamalarında ise en büyük zafiyet, uygulamanın çalıştığı cihazın kötü amaçlı yazılım bulaşması durumunda sırların ele geçirilebilmesidir. Ayrıca, SMS tabanlı MFA'nın güvensizliğini zaten biliyoruz; bu nedenle TOTP bile SMS’ten çok daha iyidir. Bununla birlikte, sıfır gün açıkları her iki yöntemi de etkileyebilir, ancak donanım anahtarları temassız saldırılara karşı daha dirençlidir.
Pratik İpuçları
- Mümkünse kritik hesaplarınızda donanım anahtarı kullanın; diğer hesaplar için TOTP yeterli olacaktır.
- Donanım anahtarı alırken FIDO2/WebAuthn uyumluluğuna dikkat edin.
- TOTP uygulamanızda bulut yedekleme varsa (Authy gibi) etkinleştirin, ama güvenlik riskini değerlendirin.
- Her iki yöntemde de kurtarma kodlarını güvenli bir yerde saklayın.
- Phishing’e karşı korunmak için asla şifrenizi veya TOTP kodunuzu beklenmedik sayfalara girmeyin; donanım anahtarı bu konuda otomatik koruma sağlar.
Sonuç: Hangisi Daha İyi?
Güvenlik açısından donanım güvenlik anahtarları açık ara önde. Ancak maliyet ve kullanım kolaylığı TOTP’yi daha erişilebilir kılıyor. İkisini bir arada kullanmak en akıllıca stratejidir: birincil faktör olarak donanım anahtarı, yedek olarak TOTP uygulaması. Unutmayın, en iyi MFA yöntemi kullanmaya devam edeceğiniz yöntemdir – ama mümkünse en güvenlisini tercih edin.
Sık Sorulan Sorular
Donanım güvenlik anahtarı olmadan sadece TOTP kullanmak güvenli mi?
TOTP, SMS'ten çok daha güvenlidir ancak phishing saldırılarına karşı zayıftır. Kritik hesaplar için donanım anahtarı önerilir.
Hangi donanım güvenlik anahtarını satın almalıyım?
YubiKey 5 serisi, Google Titan Key veya Thetis FIDO2 anahtarları yaygın ve güvenilirdir. FIDO2/WebAuthn desteğine dikkat edin.
TOTP uygulaması mı yoksa donanım anahtarı mı daha kullanışlı?
TOTP uygulaması daha taşınabilir ve ücretsizdir; donanım anahtarı ise fiziksel bir cihaz gerektirir ancak kullanımı hızlıdır.
Donanım anahtarımı kaybedersem ne yapmalıyım?
Yedek anahtar oluşturmanız veya hesap kurtarma kodlarını (backup codes) güvenli bir yerde saklamanız gerekir. Çoğu platform yeni bir anahtar eklemenize izin verir.






