Uzun bir süre boyunca, kripto dünyası “Vahşi Batı” gibi işliyordu: ya 24 kelimeyi bankadaki metal bir plakaya saklıyordunuz ya da tek bir oltalama (phishing) bağlantısı yüzünden her şeyi kaybetme riskini alıyordunuz. Ancak 2025–2026 yıllarında büyük bir değişim yaşandı. Passkeys teknolojisi (FIDO2/WebAuthn standardı) ve Account Abstraction birleşimi, varlık yönetimini sadece mobil bankacılıktan daha kolay değil, aynı zamanda kriptografik olarak daha güvenli hale getirdi.
Gelin, neden retinanız artık bir seed phrase’den daha güvenilir ve bunun “motorun altında” nasıl çalıştığını inceleyelim.
Neden seed phrase “Taş Devri”
Geleneksel cüzdanlar (EOA — Externally Owned Accounts) gibi MetaMask, tek bir anahtar çifti üzerinde çalışır. Seed phrase sizin anahtarınızdır.
- Tek hata noktası: Eğer phrase çalınırsa para kaybolur. Eğer unutursanız, fonlar yok olur.
- “Kör imzalama” sorunu: İşlemleri içeriklerini anlamadan imzalıyorsunuz, bu da oltalama için fırsat yaratıyor.
- Esneklik eksikliği: Tüm tokenleri yeni adrese taşımadan anahtarı değiştiremezsiniz.
Passkeys oyunun kurallarını nasıl değiştiriyor
Passkey, cihazınızın güvenli modülünde (iPhone’da Secure Enclave veya Windows/Android’de TPM) oluşturulan bir kriptografik anahtar çiftidir.
- Özel anahtar asla çipten çıkmaz.
- Erişim yalnızca biyometri (FaceID/TouchID) veya cihazın kilit açma kodu ile aktif edilir.
- Senkronizasyon: Anahtarlar, iCloud veya Google Password Manager üzerinden diğer cihazlarınıza güvenli şekilde kopyalanır ve bir cihaz bozulsa bile erişimi kaybetme riski ortadan kalkar.
Neden bankacılık uygulamalarından daha güvenli
Bir bankacılık uygulamasında güvenliğiniz genellikle 4 haneli PIN veya SMS doğrulamasına dayanır (SIM-swap ile kolayca ele geçirilebilir). Passkey, P-256 (secp256r1) algoritmasını kullanır — endüstri standardı bir şifreleme. Modern bir bilgisayarda brute force ile kırmaya çalışmak milyarlarca yıl alır.
Teknik sihir: Passkey ve blok zinciri nasıl bağlanır
Ana sorun: Çoğu blok zinciri (Bitcoin, Ethereum) secp256k1 eğrisini kullanırken, Passkeys için modern akıllı telefonlar secp256r1 (P-256) kullanıyor. Doğrudan birbirlerini “anlamıyorlar”.
Çözüm, ERC-4337 (Account Abstraction) ile geldi. Artık cüzdanınız sadece bir anahtar çifti değil — bir akıllı kontrat.
Uygulama örneği (Konsept kod)
Cüzdanın akıllı kontratına Passkey imza doğrulama modülü eklenir. Parmak tarayıcıya dokunduğunuzda telefon bir imza oluşturur ve akıllı kontrat bunu blok zincir üzerinde doğrular.
// Solidity
// Akıllı kontratta Passkey doğrulama mantığının basit örneği
function validateUserOp(UserOperation calldata userOp, bytes32 userOpHash) internal override returns (uint256) {
// İmza bileşenlerini (r, s) ve açık anahtar koordinatlarını çıkar
(bytes32 r, bytes32 s, uint256 x, uint256 y) = abi.decode(userOp.signature, (bytes32, bytes32, uint256, uint256));
// İmzayı doğrulamak için P-256 precompile (RIP-7212) kullan
// Bu, cüzdanın iPhone biyometrisini “anlamasını” sağlar
bool isValid = P256Verifier.verify(userOpHash, r, s, x, y);
if (!isValid) return SIG_VALIDATION_FAILED;
return 0;
}
Az bilinen gerçek: 2024’e kadar, Ethereum’da böyle bir imzayı doğrulamak çılgınca maliyetli olurdu (işlem başına 50–100 $). L2 ağlarında (Base, Optimism, Arbitrum) EIP-7212 (secp256r1 için precompile) ile doğrulama maliyeti artık neredeyse sıfır.
Kullanıcılar için pratik ipuçları
Eğer bugün “phrase’siz” moda geçmek istiyorsanız, şu seçenekleri göz önünde bulundurun:
- Cüzdan seçimi: Yeni nesil akıllı cüzdanlar kullanın: Braavos veya Argent (Starknet), Passkeys modüllü Safe veya Coinbase Smart Wallet.
- Çok faktörlü sahiplik (2FA süper güç): Akıllı kontratı, küçük işlemlerin sadece telefon Passkey ile yeterli olacağı şekilde, büyük işlemlerin ikinci cihaz onayı gerektireceği şekilde yapılandırabilirsiniz (örneğin MacBook’unuz).
- Sosyal kurtarma: Aile üyelerinin Passkey’lerini veya yedek cihazları “Guardians” olarak bağlayın. Eğer tüm cihazlarınıza erişimi kaybederseniz, seed phrase kullanmadan cüzdanınızı geri yükleyebilirler.
Ana risk: Pazarlamacıların söylemediği şey
Passkeys’in tek zayıflığı, bulut hesabınıza (Apple ID veya Google Account) erişimdir. Bir saldırgan iCloud’unuzu tamamen kontrol altına alır ve şifreyi sıfırlarsa, teorik olarak anahtarlarınızı kendi cihazına senkronize edebilir.
Çözüm: Apple ID/Google hesabınızı donanım anahtarı (ör. YubiKey) ile her zaman koruyun ve iOS ayarlarında “Stolen Device Protection”’ı etkinleştirin.
WebAuthn Mimarisi: Tarayıcı Blockchain ile Nasıl İletişim Kurar
Bir Passkey’in blockchain işlemine dönüşmesi için veriler, ele geçirilmesini önleyen bir zincirden geçer. Buna WebAuthn API denir.
Süreç şöyle işler:
- Challenge: Akıllı sözleşme veya cüzdanın backend’i, frontend’e rastgele bir dize (challenge) gönderir.
- Biyometrik Kimlik Doğrulama: Tarayıcı sistem penceresini (FaceID/TouchID) tetikler. Biyometrik doğrulama başarılı olduğunda cihaz, challenge’ı Secure Enclave içindeki özel anahtarla imzalar.
- Yanıt: İmza geri gönderilir. Bu, sadece kriptografik imzayı değil, aynı zamanda clientDataJSON’u da içerir (doğru domainde olduğunuzu kanıtlar, phishing’e karşı %100 koruma sağlar).
Frontend geliştiriciler için örnek kod (Passkey kaydı):
// JavaScript
// Anahtar oluşturmak için seçenekleri üret
const publicKeyCredentialCreationOptions = {
challenge: Uint8Array.from(randomString, c => c.charCodeAt(0)),
rp: { name: "MyCryptoWallet", id: "wallet.example.com" },
user: {
id: Uint8Array.from("user123", c => c.charCodeAt(0)),
name: "[email protected]",
displayName: "User One"
},
pubKeyCredParams: [{ alg: -7, type: "public-key" }], // -7 ES256 (P-256) anlamına gelir
authenticatorSelection: { authenticatorAttachment: "platform" },
timeout: 60000
};
const credential = await navigator.credentials.create({
publicKey: publicKeyCredentialCreationOptions
});
Az bilinen detay: "Client Data JSON" ve sahtecilik koruması
Bankacılık uygulamalarının aksine, bir işlem teorik olarak telefondaki kötü amaçlı yazılım (keylogger veya giriş alanı sahteciliği) tarafından ele geçirilebilirken, Passkey’ler Origin (alan adı) ile sıkı bir şekilde bağlı bir hash’i imzalar.
- Eğer
my-wallet-scam.comsitesine giderseniz, telefonunuzmy-wallet.comiçin oluşturulmuş Passkey’i teklif etmez. - Blockchain üzerinde akıllı sözleşme, imzalanmış verideki origin alanını kontrol eder. Bir hacker başka bir siteden imzayı iletmeye çalışırsa, sözleşme işlemi reddeder. Bu, geleneksel banka kartlarının ulaşamadığı bir koruma seviyesidir.
Parçalanma Sorunu: Altyapı Çözümleri (Turnkey ve Privy)
Geliştiriciler, iPhone, Android ve Windows’ta aynı cüzdana kullanıcı erişimini, bulutlarının (iCloud ve Google Drive) kesişmediği durumlarda nasıl sağlayacaklarını düşündüler.
İşte bu noktada Turnkey veya Dynamic gibi çözümler devreye girer. Bulutta yüksek güvenlikli donanım modülleri (HSM) kullanırlar.
- Passkey’iniz, dağıtılmış HSM’de saklanan anahtara erişimi açar.
- Bu, “tek cüzdan — birden çok cihaz” imkanı sağlar, güvenliği kaybetmeden.
- Turnkey sunucusu hacklense bile, saldırgan varlıklara erişemez çünkü imza için hala yerel biyometrik doğrulama gerekir.
Oturum Anahtarları: “Görünmez” Cüzdanın Sihri
Passkey’ler, Account Abstraction ile birleştirildiğinde Oturum Anahtarlarını mümkün kılar. Bu, bankacılık tarzı kullanıcı deneyimini nihayetinde “öldüren”—iyi anlamda—şeydir.
- Bankadaki gibi: Her transfer için — SMS, push, uygulama kodu. Sinir bozucu.
- Passkey ile kripto’da: FaceID’yi bir kez kullanarak geçici bir “oturum anahtarı” oluşturursunuz (örneğin 1 saat veya 100$ limitli). Bu anahtar tarayıcı hafızasında saklanır. Bir oyun oynar veya DEX’te işlem yaparsınız ve işlemler anında gerçekleşir, sürekli onay gerekmez. Limit dolduğunda veya süre bittiğinde anahtar kendiliğinden yok olur.
Pratik Örnek: Seed Phrase Olmadan Kurtarma
En büyük korku: “Telefonumu ve iCloud erişimimi kaybedersem?”
Passkey cüzdan mimarisi, Social Recovery veya Email Recovery via ZK-Proofs (sıfır-bilgi kanıtları) kullanır.
Örnek: Kayıt sırasında e-posta adresinizi verirsiniz. Erişim kaybolursa kurtarmayı başlatırsınız. Akıllı sözleşme, e-posta sunucunuzdan gelen dijital imzayı doğrular (DKIM). ZK teknolojisi sayesinde blockchain, e-postanın gerçekten size ulaştığını görür ama e-postanız halka açık deftere eklenmez. Yeni Passkey’i eski adrese bağlarsınız — ve fonlarınız geri gelir. Kağıt veya seed phrase gerekmez.
En heyecan verici kısma geldik — güvenliğin pratik kurulumu ve Passkeys konseptinin cüzdanınızı, kuralları sizin belirlediğiniz kişisel bir "dijital kasa"ya nasıl dönüştürdüğü.
Programlanabilir Güvenlik: Limitler ve Roller
Normal bir bankacılık uygulamasında limitler banka tarafından belirlenir. Passkey cüzdanında (ERC-4337) limitleri akıllı sözleşme kodunda siz belirlersiniz. Buna Policy Management denir.
Pratikte nasıl çalışır:
Cüzdanınızı, miktara bağlı olarak farklı yetkilendirme seviyeleri gerektirecek şekilde ayarlayabilirsiniz:
- 100 $’a kadar: Oturum anahtarı ile imza (anında, biyometri olmadan).
- 100 $ - 5.000 $ arası: Bir Passkey gerekli (telefonunuzdaki FaceID).
- 5.000 $ üzeri: Multi-Passkey gerekli (hem telefonunuz hem de MacBook’unuzdan onay).
Mantık örneği (Akıllı sözleşme Pseudo-kodu):
// Solidity
function executeTransaction(uint256 amount, bytes calldata signature) external {
if (amount <= smallLimit) {
require(verifySessionKey(signature), "Geçersiz Oturum Anahtarı");
} else if (amount <= mediumLimit) {
require(verifyPasskey(signature, deviceA), "FaceID gerekli");
} else {
require(verifyDoublePasskey(signature, deviceA, deviceB), "İki cihazlı doğrulama gerekli");
}
_transferFunds();
}
Az bilinen teknoloji: Paymasters (Uygulama Tarafından Gaz Ödemesi)
Kripto dünyasında en büyük sorunlardan biri, "gaz" (ücret) ödemek için yerel tokenları (ETH, MATIC) bulundurmak zorunda olmaktır. Passkeys, Account Abstraction ile birlikte bunu Paymasters aracılığıyla çözer.
Cüzdanınız bir akıllı sözleşme olduğundan, sizin adınıza gaz ödeyecek ve karşılığını USDC olarak alacak bir aracıyla etkileşime girebilir. Ya da promosyon kapsamında işlemi tamamen ücretsiz yapabilir.
Sonuç: Kullanıcı deneyimi bir bankayla tamamen aynı hale gelir: sadece "Gönder"e tıklarsınız, parmağınızı koyarsınız ve sihir gerçekleşir. Gaz hakkında düşünmenize gerek yoktur.
Karşılaştırma: Passkey Cüzdan vs Banka Uygulaması
| Özellik | Banka Uygulaması | Passkey Cüzdan (WebAuthn) |
|---|---|---|
| Mülkiyet | Banka hesabı dondurabilir | Sadece siz (Secure Enclave’de anahtar) |
| Giriş | PIN/Biyometri + SMS | Biyometri (Donanım seviyesinde) |
| Phishing’e karşı savunmasızlık | Yüksek (sahte siteler) | Sıfır (alan adına bağlı) |
| Kurtarma | Pasaport/ofis aracılığıyla | Sosyal kurtarma / ZK-Email |
| Ücretler | Gizli / Bankalar arası | Şeffaf (L2 ağları) / Paymasters |
Gelecek: Devlet ID’leri ile Entegrasyon
2026 yılında Passkeys’in devlet dijital kimlikleri (eID) ile entegrasyonunu görmeye başlıyoruz. Bu, yalnızca devlet çipiniz tarafından ID kartınızda veya pasaportunuzda üretilen imzaya güvenen cüzdanlar oluşturmayı mümkün kılacak, NFC üzerinden.
Bu ideal bir denge yaratır:
- Gizlilik: Blockchain adınızı bilmez, sadece geçerli imzayı görür.
- Güvenilirlik: Resmi bir belgeniz olduğu sürece varlıklara erişimi asla kaybetmezsiniz.
Passkeys’e geçiş için pratik kontrol listesi:
- Yeni nesil bir cüzdan oluşturun: Clave, Braavos veya Coinbase Wallet’i (Smart Wallet versiyonu) deneyin.
- Yedeklemeleri ayarlayın: iCloud veya Google hesabınızın 2FA ile korunduğundan emin olun (YubiKey gibi donanım anahtarı en iyisidir).
- "Guardian" ekleyin: Cüzdan Social Recovery destekliyorsa, ikinci adresinizi veya güvendiğiniz bir kişinin adresini kurtarma için ekleyin.
- Limitleri test edin: Günlük harcama limitlerini otomatik ayarlayın — bu, biri telefonunuzu zorla açsa bile fonlarınızı korur.
Sonuç
Passkeys sadece seed phrase’lerin pratik bir alternatifi değildir. Güvenlikte temel bir değişimi temsil ederler. "Ezberleme yoluyla güvenlik"ten "matematik ve fiziksel çiplerle güvenlik"e geçtik. Bugün, normal bir akıllı telefon ile milyonlarca kriptoya sahip olmak, eski protokollere ve insan faktörüne dayanan bir bankada tutmaktan daha güvenlidir.
