Bir kripto yatırımcısı telefon ekranının kırıldığı anda borsadaki pozisyonunu kapatamaz hale geldi: Google Authenticator kuruluydu, yedeği yoktu. Binance destek ekibi kamera karşısında kimlik belgesiyle video kaydı istedi; süreç 48 saati aştı; bu süre zarfında çekimler donduruldu. Google Authenticator yedek alma ihmal edildiğinde, riski denetleme şansınız da ortadan kalkar. Bu yazı, TOTP mekanizmasını, dört farklı yedekleme yöntemini ve borsa 2FA sıfırlama sürecini somut adımlarla ele alıyor.
Kapsam dışında tutulan konular: hangi kripto varlığını almalısınız, hangi borsa daha kârlıdır. Bunlar bu yazının gündemine girmiyor.
TOTP Nasıl Çalışır ve Neden Yedeği Zorunlu?
RFC 6238 standardıyla tanımlanan TOTP (Time-based One-Time Password), iki girdiyi birleştirir: hesabınıza özgü gizli bir başlangıç anahtarı (seed) ve Unix zaman damgası. Uygulama bu iki değeri HMAC-SHA1 algoritmasından geçirerek her 30 saniyede bir yeni 6 haneli kod üretir. Sunucu aynı algoritmayı kendi tarafında bağımsız olarak çalıştırır ve kodlar eşleşince erişim açılır.
Bu mimarinin kritik noktası şudur: seed anahtarı yalnızca kurulum anında paylaşılır. Uygulamayı sildiğinizde, telefonunuz çalındığında veya fabrika sıfırlaması yaptığınızda bu anahtar silinir ve bir daha kurtarılamaz. SMS tabanlı 2FA'da operatör sistemi üzerinden sıfırlama yapılabiliyor; TOTP'ta böyle bir merkez yoktur. Dolayısıyla seed anahtarını kurulum anında kaydetmemiş olmak, hesaba erişimi kalıcı olarak kaybetmek anlamına gelebilir.
SIM swap saldırılarında da bu fark belirleyici hale gelir. Saldırgan mobil operatörü sosyal mühendislikle kandırarak telefon numaranızı kendi SIM'ine aktarır; SMS ile gelen tüm doğrulama kodları saldırgana ulaşır. TOTP'ta kod, telefon numarasıyla değil cihazınızdaki seed ile üretildiği için aynı saldırı geçersiz kalır. Bu fark, uygulamanın neden SMS 2FA'dan yapısal olarak üstün sayıldığını açıklar.
Kodun 30 saniyelik penceresi de güvenlik modeline katkıda bulunur. Phishing ile birinin TOTP kodunuzu ele geçirdiği varsayılsa bile, o kodu 30 saniye içinde kullanması gerekir. Sahte siteden gerçek siteye aktarım yapma penceresi bu süre içinde daralır. Ağ üzerinden dinleme söz konusu olduğunda ise kodu alıp kullanma fırsatı pratikte imkânsıza yakındır.
Google Authenticator Yedek Alma: Seed Key Saklama Yöntemi

2FA kurulumunda QR kodu ekrana geldiğinde, uygulamanın hemen altında ya da manuel kurulum seçeneğinde Base32 formatında uzun bir metin dizisi görünür. Bu dizi, seed anahtarının insan-okunur halidir. QR kodu ile seed arasında bire bir eşleşme vardır: seed başka bir uygulamaya girildiğinde aynı TOTP akışı başlar.
QR kodu taramadan önce yapılması gereken: seed metnini kopyalayıp önce güvenli bir yere aktarmak. Ekran görüntüsü almak bu amaçla uygun değildir; fotoğraf galerisi bulut senkronizasyonuna açık olabilir veya cihaz hırsızlığında ilk erişilen konumlardan biridir.
Güvenli saklama seçenekleri pratik olarak üçe ayrılır. Birincisi fiziksel kağıt: seed'i okunaklı şekilde yazmak, ardından yangına dayanıklı bir dosya ya da kilitli çekmeceye koymak. İkincisi şifre yöneticisi: Bitwarden ve 1Password, şifreli notlar alanında TOTP seed'lerini destekler; Bitwarden'ın Premium planı seed'i doğrudan TOTP üretecisi olarak da kullanabilir.
KeePass, açık kaynaklı ve tamamen çevrimdışı çalışan bir alternatiftir; veritabanı dosyası başka bir cihazda da tutulabilir. Üçüncüsü şifreli USB sürücü: VeraCrypt gibi bir araçla şifrelenmiş bir kap oluşturup seed dosyasını içine koyarak USB'yi çevrimdışı saklamak.
Metal plakalar, Bitcoin seed phrase yedekleme için yaygınlaşmış bir yöntemdir ve Google Authenticator seed'leri için de uygulanabilir. Titanyum veya çelik plakalar yangın ve su hasarına kağıt veya plastikten çok daha yüksek eşiklerde dayanır. Uzun vadeli ve fiziksel hasar riskine karşı en kalıcı seçenektir.
Hesap Aktarımı: Transfer Accounts Özelliği
Google Authenticator, Android'de versiyon 6.0, iOS'te versiyon 4.0 itibarıyla Transfer Accounts (Hesapları Aktar) menüsü sunuyor. Bu özellik, eski telefondan yeni telefona geçiş yaparken hesapları QR kodu aracılığıyla aktarmak için tasarlanmış. Adımlar şu şekilde işler: eski telefonda uygulamayı açın, menüden Transfer accounts, Export accounts seçin, cihaz kilidini doğrulayın, aktarmak istediğiniz hesapları seçin ve QR kodunu oluşturun. Yeni telefonda Import accounts seçeneğiyle bu kodu tarayın.
Bu yöntemin sınırlılığı açıktır: eski telefonun çalışır durumda olması gerekir. Telefon kayboldu ya da ekran kırık ve açılamıyorsa bu seçenek geçersiz kalır. Aktarım sırasında üretilen QR kodu tüm seçilen hesapları tek seferlik içerir; bu görseli kaydetmek yeni bir saldırı yüzeyi yaratır.
Aynı nedenle bu özellik, bir yedekleme stratejisi değil, planlı cihaz değişimi için bir taşıma aracıdır. Seed key yedeklemesinin yerini tutmaz.
İki cihazda paralel çalıştırma stratejisi, aktarım özelliğinin kısıtını aşmanın pratik yoludur. Kurulum anında hem birincil telefonunuza hem de yedek bir cihaza aynı seed'i manuel olarak tanımlarsanız, her iki cihaz da bağımsız TOTP üreticisi olarak çalışır. Birincil cihaz arızalandığında yedek cihaz devreye girer ve kurtarma saniyeler içinde tamamlanır. Bu yapıda fiziksel seed yedeği gereksiz hale gelmez; aksine iki cihaz da kaybolursa son güvenlik ağı olmaya devam eder.
Google Authenticator Bulut Senkronizasyonu: Kolaylık ve Risk
Nisan 2023'te Google, Authenticator uygulamasının TOTP kodlarını Google hesabıyla senkronize etme özelliğini duyurdu. Google Security Blog'undaki duyuruya göre bu güncelleme, cihaz kayıplarında yaşanan hesap kilitleme sorununu çözmek amacıyla geliştirildi. Android 6.0+ ve iOS 4.0+ sürümlerinde bu seçenek mevcut.
Ancak bu özelliğin duyurulmasının hemen ardından güvenlik araştırmacıları kritik bir bulgu paylaştı: söz konusu yedeklemeler uçtan uca şifreli değil. Google, verilerin transit sırasında ve depolamada şifrelendiğini doğruladı; fakat şifreleme anahtarları Google'ın elinde. Bu, teorik olarak Google çalışanlarının, mahkeme kararına dayalı taleplerin veya Google altyapısının bir ihlalinin TOTP seed'lerinize erişim sağlayabileceği anlamına gelir.
Bu riskin pratikte nasıl sonuç verdiğini gösteren bilinen bir vaka var: Retool adlı yazılım şirketinde bir saldırgan, çalışanın Google hesabına erişim sağladıktan sonra Authenticator Cloud Sync üzerinden tüm TOTP kodlarını elde etti ve bu yolla şirketin kripto hesaplarındaki fonları boşalttı. Saldırının zararı on milyonlarca dolar olarak raporlandı.
Bulut senkronizasyonunu kullanmaya karar verirseniz, Google hesabınızın güvenliği doğrudan Authenticator güvenliğinizi belirler: güçlü ve benzersiz bir şifre, Google hesabı için ayrı bir 2FA katmanı (tercihen donanım anahtarı), ve mümkünse passkey kaydı bu asgari önlemlerdir. Senkronizasyon, seed key yedeklemesini devre dışı bırakmaz; iki katman birbirini tamamlar.
Alternatif TOTP Uygulamaları ve Yedekleme Mimarileri
Authy (Twilio), birden fazla cihazda eş zamanlı çalışmayı destekleyen ve yedeklemeleri ayrı bir master şifreyle koruyan bir TOTP uygulamasıdır. Çok cihaz senkronizasyonu Google Authenticator'ın bulut seçeneğinden farklı olarak 2013'ten beri var; uygulama, seed'leri kendi şifreleme altyapısıyla depoluyor. Dezavantajı: Twilio'nun altyapısına bağımlılık ve hesabın merkezi bir kimlik doğrulamaya dayanması.
Microsoft Authenticator, Microsoft hesabı üzerinden yedekleme ve geri yükleme sağlıyor; aynı zamanda biyometrik kimlik doğrulama ve passwordless giriş destekliyor. Microsoft ekosisteminde kurumsal kullanım için tercih edilen seçenek bu.
Yüksek güvenlik ihtiyacı için donanım tabanlı çözümler de mevcut. YubiKey gibi FIDO2/WebAuthn uyumlu fiziksel anahtarlar, kimlik doğrulamayı belirli bir web sitesine kriptografik olarak bağladığından phishing saldırılarını yapısal olarak engeller. Kraken gibi borsalar, giriş 2FA'sı için FIDO2 protokolünü resmi olarak destekliyor. Donanım anahtarları için kayıp riski, seed key kaybıyla benzerdir: anahtarı kaybederseniz yedek anahtara veya borsanın kurtarma sürecine ihtiyaç duyarsınız.
Bir Phantom Cüzdan kurulumu ya da Argent X gibi bir tarayıcı cüzdanı kurarken de aynı ilke geçerlidir: seed phrase'i kurulumda bir kez görürsünüz ve yedeklemezseniz bir daha erişemezsiniz. Tarayıcı tabanlı cüzdanlarda kurtarma cümlesi kaybı ile TOTP seed kaybı mekanizma açısından farklı görünse de pratik sonuç aynıdır: erişim kalıcı olarak kapanır.
Borsa 2FA Sıfırlama: Yedek Olmadan Ne Olur?

Google Authenticator'a erişim kaybolduğunda ve önceden alınmış bir yedek yoksa, borsanın kurtarma süreci devreye girer. Binance destek dokümantasyonuna göre bu süreç video doğrulaması içeriyor: kullanıcı kimlik belgesiyle kameraya oturarak belirli bir sözlü ifadeyi okumak zorunda (tarih, e-posta adresi ve sıfırlamak istediğiniz 2FA türü dahil). Video inceleme süreci manuel yapılıyor ve çekimler sıfırlama tamamlanana kadar dondurulabiliyor.
Sürecin bu şekilde tasarlanmasının nedeni meşru: 2FA sıfırlama talebi zayıf bir güvenlik noktasına dönüşebilir. Bir saldırgan hesabı ele geçirmişse ve siz de erişiminizi kaybettiğiniz iddiasıyla başvuruyorsanız, borsa gerçek hesap sahibini doğrulamak için ek kontroller uyguluyor. Kimlik belgesi, kayıt e-postası, geçmiş işlem detayları ve IP adresi gibi veriler sürece dahil edilebiliyor.
Bu sürecin en önemli pratik sonucu: sıfırlama talebi onaylanana kadar bir pozisyonu kapatamaz, fon gönderemez, alım emri veremezsiniz. Piyasanın hızlı hareket ettiği dönemlerde bu süre önemli bir fırsat maliyetine dönüşebilir. Yedek almanın değeri bu noktada somutlaşır: tek bir seed key kaydı, günler sürebilecek bir kurtarma sürecini birkaç dakikaya indiriyor.
Farklı borsaların süreci farklı biçimlerde yönettiğini not etmek gerekir. Bazı platformlar e-posta doğrulaması ve KYC kontrolüyle sıfırlamayı birkaç saatte tamamlarken, diğerleri yüz tanıma veya belge incelemesi için daha uzun süreler öngörüyor. Bu belirsizlik, platformdan bağımsız olarak seed key yedeklemesini standart pratik haline getirme gerekçesini güçlendiriyor.
Yedekleme Güvenliğinde Yapılan Başlıca Hatalar

Seed key'in ekran görüntüsünü alıp fotoğraf galerisine kaydetmek, en yaygın güvenlik hatasının başında geliyor. Galeri çoğu zaman otomatik bulut yedeklemesine açık; ayrıca telefon hırsızlığında saldırganın ilk erişeceği konumlardan biri. Seed, buluta şifresiz yüklenen bir JPEG olarak saklanmamalıdır.
Tüm yedekleri tek bir konumda tutmak başka bir yaygın hata. Evinizde yalnızca kağıt yedek varsa ve ev yanıyorsa, yedek de gider. Mantıklı dağıtım şöyle çalışır: birinci kopya fiziksel (kağıt ya da metal, güvenli kutuda), ikinci kopya şifreli dijital (şifre yöneticisi ya da şifreli USB, farklı bir fiziksel konumda).
Yeni bir hesap eklendiğinde yedeği güncellememek de sık karşılaşılan bir hata. Yedek, kurulum anındaki anlık görüntüdür. Sonradan eklediğiniz bir borsanın 2FA'sı o yedekte yer almaz. Her yeni hesap eklemesinde seed'i not etme adımı tekrarlanmalıdır.
Son olarak, kurtarma kodlarını göz ardı etmek: çoğu borsa 2FA kurulumunda 8-12 haneli tek kullanımlık kodlardan oluşan bir liste sunar. Bu kodlar, Authenticator'a erişilemediğinde son başvuru noktasıdır ve seed key kadar güvenli saklanmaları gerekir. Her biri yalnızca bir kez kullanılabilir; kullanılanları listeden çıkarmak karışıklığı önler.
Sıkça Sorulan Sorular
Google Authenticator seed key nerede saklanır?
Seed key cihazınızdaki uygulamanın yerel veri deposunda şifrelenmiş olarak tutulur. Bulut senkronizasyonu açıksa Google sunucularına da kopyalanır. Uygulamayı sildiğinizde veya cihazı sıfırladığınızda yerel kopya silinir; bulut yedeği yoksa seed kalıcı olarak yok olur.
Aynı seed iki cihaza eklenebilir mi?
Evet. Başlangıç anahtarını ya da QR kodunu iki ayrı cihazda Authenticator uygulamasına manuel olarak tanımlarsanız, her iki cihaz da aynı algoritmayı çalıştırarak aynı TOTP kodlarını üretir. Seed anahtarı değişmedikçe iki cihaz da çalışmaya devam eder. Bu, cihazın arızalanmasına karşı pratik bir yedekleme yöntemidir.
Google Authenticator bulut yedeklemesi güvenli mi?
Google, verilerin şifreli tutulduğunu doğruluyor ancak uçtan uca şifreleme sunmuyor; şifreleme anahtarları Google'da. Bu, Google hesabınızın güvenliğine doğrudan bağlı bir risk yaratır. Google hesabınız güçlü 2FA ile korunuyorsa pratik risk azalır; fakat yüksek değerli hesaplar için seed key'i ayrıca çevrimdışı saklamak daha savunmacı bir yaklaşımdır.
SMS 2FA ile TOTP arasındaki güvenlik farkı nedir?
SMS 2FA, telefon numaranıza kod gönderir; SIM swap saldırısında saldırgan numaranızı kendi SIM'ine taşıyarak bu kodları ele geçirebilir. TOTP, kod üretimini telefon numarasına değil cihazınızdaki seed'e bağladığından SIM swap saldırısına karşı dirençlidir. Mobil ağ üzerinden iletilen SMS'ler şifrelenmemiş kanallardan geçebilir; TOTP yerel hesaplama yaptığından ağ dinlemesine karşı da kapalıdır.
Authy ile Google Authenticator arasında yedekleme açısından fark nedir?
Authy, birden fazla cihazda eş zamanlı çalışmayı ve ayrı bir master şifreyle korunan bulut yedeklemesini standart özellik olarak sunuyor. Google Authenticator'ın bulut sync'i ise Google hesabına bağlı ve uçtan uca şifreli değil. Authy, çok cihazlı kullanım için daha esnek; Google Authenticator, tek cihaz ve offline kullanım için daha sade. Her iki seçenekte de seed anahtarını manuel olarak saklamak, bulut bağımlılığını ortadan kaldırır.
Borsa 2FA sıfırlama süreci ne kadar sürer?
Borsaya ve talep yoğunluğuna göre değişir. Binance'in resmi dokümantasyonuna göre sıfırlama onaylanana kadar çekimler ve bazı işlemler dondurulabiliyor; süreç saatlerden günlere uzayabilir. Kimlik belgesi, video kaydı ve hesap doğrulama bilgileri eksiksiz hazırlanırsa süreç kısalır.
Seed key'i şifre yöneticisinde saklamak güvenli midir?
Bitwarden, 1Password gibi sıfır bilgi mimarisiyle çalışan şifre yöneticileri, seed'leri şifreli şekilde depolar ve sağlayıcı içeriğe erişemez. Şifre yöneticinin ana şifresinin güçlü olması ve şifre yöneticisi hesabının da 2FA ile korunması bu senaryoda kritiktir. KeePass, veritabanını tamamen yerel tutmak isteyen kullanıcılar için açık kaynaklı bir alternatiftir.
Tek Seed, İki Konum Kuralı
Yedekleme stratejisi karmaşıklaştıkça uygulanma ihtimali düşer. En sürdürülebilir yaklaşım iki basit kurala dayanır: her yeni 2FA kurulumunda seed key'i anında not edin, notun bir kopyasını fiziksel bir konumda ve bir kopyasını şifreli dijital bir konumda saklayın. Bu iki kopya farklı fiziksel mekânlarda olmalı. Kurtarma kodlarını da aynı ilkeyle saklayın.
Borsa hesaplarınızın güvenliğini artırmanın başka bir yolu, MetaMask gibi kişisel cüzdanlara geçiş yapmak ve uzun vadeli varlıkları kendi kontrolünüzdeki cüzdanlarda tutmaktır. Borsa cüzdanlarında özel anahtarların yönetimi size değil borsaya ait; bu nedenle borsa hesabının güvenliği 2FA kaybına karşı daha kırılgandır.
Yedeklemenin ne zaman yapılacağı sorusu da sık atlanan bir detay. Birçok kullanıcı 2FA'yı kurar, birkaç gün normal kullanım yapar ve sonra yedeklemeyi düşünmeye başlar; ancak bu sürede kurulum QR kodu artık erişilemez durumdadır. QR kodu ve seed yalnızca ilk kurulumda görünür.
2FA etkinleştirildikten sonra borsaların büyük çoğunluğu bu bilgiyi tekrar göstermez. Dolayısıyla yedekleme penceresi, kurulum ekranının açık olduğu dakikalardır.
Kripto piyasaları çok hızlı değer kaybedebilir. Bu yazı yatırım tavsiyesi değildir; bu alandaki her şeyi kaybetmeyi göze alabileceğiniz parayla yapın.
İki yedek konumu tutmanın pratik anlamı şudur: telefonunuz çalınsa bile erişiminiz devam eder, eviniz yanarsa dijital kopya ayakta kalır. Seed'i bir kez sakladıktan sonra bakım gerektirmeyen bu yapıyı kurmak, borsanın kurtarma sürecinde günler harcamaktan kat kat daha az zaman alır.
Kontrol listesi
- Kaynak: Resmi site, kontrat adresi ve ağ bilgisi bağımsız iki kaynaktan doğrulanmalı.
- Risk: Komisyon, likidite, kilit süresi ve saklama modeli işlemden önce netleşmeli.
- Uygulama: İlk deneme küçük tutarla yapılmalı; seed phrase, imza ekranı ve onaylanan ağ ayrıca kontrol edilmeli.
Tartışmaya Katılın