En İyi 2FA Uygulamaları

Son güncelleme: 2026-03-21

İki aşamalı doğrulama (2FA) uygulamaları, hesabınıza girişte şifreye ek olarak tek kullanımlık bir kod (TOTP) ya da bildirimle onay (push) gibi ikinci bir adım ekleyerek hesap ele geçirilme riskini belirgin biçimde düşürür. “En iyi” seçenek ise çoğu kişi için tek bir uygulama değil; telefon değiştirince taşıma kolaylığı, yedekleme yaklaşımı, çoklu cihaz kullanımı ve hangi ekosistemde (Google/Microsoft) yaşadığınız gibi kriterlere göre değişir. Bu rehberde en çok tercih edilen 2FA uygulamalarını, kimler için uygun olduklarını ve uygulama seçerken yapılan kritik hataları kısa ve net biçimde toparladım.

Hızlı karar: Hangi 2FA uygulaması kime uygun?

• En basit TOTP deneyimi istiyorsanız: Google Authenticator
• Microsoft hesabı/Office/Windows ekosistemi yoğun kullanıyorsanız: Microsoft Authenticator
• Bulut senkronu + çoklu cihaz yaklaşımı istiyorsanız (özellikle yıllardır Authy kullananlar): Authy
• Android’te açık kaynak + yerel kontrol önceliğinizse: Aegis Authenticator
• Açık kaynak + uçtan uca şifreli yedek arıyorsanız: Ente Auth
• Basit ve hafif “TOTP üretici” arıyorsanız: FreeOTP

2FA uygulaması seçerken 4 kriter (çoğu kişinin gözden kaçırdığı yerler)

1) TOTP mi, push onay mı?

• TOTP (kod üretme): Uygulama her 30 saniyede bir değişen kod üretir. Çoğu siteyle uyumludur.
• Push onay: “Giriş isteğini onayla” bildirimi gelir; genellikle daha rahattır ama her platform desteklemez.

2) Telefon değişince taşıma ve geri dönüş planı

En iyi uygulama, sadece iyi çalıştığı günlerde değil; telefon bozulduğunda/kaybolduğunda da sizi kilitlemeyen uygulamadır.

3) Yedekleme yaklaşımı (bulut/yerel)

• Bulut senkronu kolaylık sağlar.
• Yerel yedek, kontrol hissi verir ama sorumluluğu size bırakır.

4) Çoklu cihaz ihtiyacı

“Telefon + tablet” ya da “iki telefon” gibi senaryolarda bazı uygulamalar daha sorunsuzdur.

En iyi 2FA uygulamaları (özet karşılaştırma)

Aşağıdaki tablolar mobilde okunabilir kalması için küçük tutuldu. Detaylarda resmî dokümana göre değişebilen alanlarda kesin hüküm vermemeye dikkat edin.

Tablo 1 — Ne tür doğrulama sunuyor?

Tablo 2 — Taşıma / yedekleme yaklaşımı (kısa)

Uygulamalar: Artıları, eksileri, “kimler için?” notları

1) Google Authenticator

Resmî sayfa: Google Authenticator

• Artıları
• Kurulumu kolay, arayüz sade
• TOTP destekleyen hemen her yerde kullanılır
• Dikkat
• Bazı kullanıcılar “Google Authenticator yazıyorsa sadece bu olur” sanıyor. Çoğu durumda doğru olan: TOTP destekleyen başka uygulamalar da çalışır.
• Kimler için?
• Tek telefon, temel 2FA ihtiyacı olanlar

2) Microsoft Authenticator

Resmî sayfa: Microsoft Authenticator

• Artıları
• Microsoft hesabı ile push onay deneyimi güçlü olabilir
• Kurumsal kullanımda sık tercih edilir
• Dikkat
• Push onay her hizmette yoktur; birçok hizmette yine TOTP kod mantığıyla kullanılır.
• Kimler için?
• Microsoft ekosistemi yoğun olanlar

3) Authy (mobil)

Resmî sayfa: Authy

• Artıları
• Yıllardır “çoklu cihaz” fikriyle anılan çözümlerden biri
• Nuans / güncel not
• Authy’nin masaüstü uygulamasının yaşam döngüsü konusunda resmî duyurular bulunuyor; masaüstü beklentisi olanlar mutlaka kontrol etmeli.
• Kimler için?
• Zaten Authy kullanan ve hesabını birden fazla cihazda yönetmek isteyenler

4) Aegis Authenticator (Android)

Resmî site: Aegis Authenticator

• Artıları
• Açık kaynak yaklaşımı
• Android kullanıcıları için güçlü bir alternatif
• Dikkat
• iPhone kullanıyorsanız doğal olarak seçenek dışı kalır.
• Kimler için?
• Android’de “daha fazla kontrol” isteyenler

5) Ente Auth

Resmî site: Ente Auth

• Artıları
• Açık kaynak vurgusu
• “Yedek/taşıma” odağıyla öne çıkıyor
• Dikkat
• Her uygulamada olduğu gibi, yedekleme şeklinizi (bulut/yerel) kendi risk iştahınıza göre netleştirin.
• Kimler için?
• Taşınabilirlik ve yedek konusunda baştan plan yapmak isteyenler

6) FreeOTP

Resmî site: FreeOTP

• Artıları
• Hafif, basit bir TOTP/HOTP uygulaması
• Dikkat
• “Konfor özellikleri” (gelişmiş senkron, vs.) arıyorsanız sınırlı gelebilir.
• Kimler için?
• “Sadece kod üretsin yeter” diyenler

Gerçekçi örnek: Yeni telefon aldım, 2FA yüzünden hesaplarım gider mi?

Hayır; ama plan yoksa can sıkıcı olabilir.

Örnek senaryo:

1. Eski telefondaki 2FA uygulamanızda 10+ hesap var.
2. Yeni telefona geçiyorsunuz.
3. Bazı hesaplarda 2FA’yı taşımak için eski cihazda hâlâ giriş yapabiliyor olmanız gerekir.

Bu yüzden:

• Her önemli hesap için yedek kodları (recovery codes) güvenli şekilde saklayın.
• Mümkünse 2FA’yı açarken ikinci bir doğrulama yöntemi (ek cihaz, alternatif yöntem) ekleyin.

En yaygın hata: 2FA’yı açıp yedek kodları kaydetmemek

2FA güvenliği artırır; ama yedek plan yoksa “kilit” de olabilir. En çok yaşanan problem şudur:

• Telefon kaybolur/bozulur
• 2FA koduna erişim gider
• Kullanıcı, yedek kodları hiç kaydetmediği için hesap kurtarma süreci uzar

İstisna / nuans: Bazı servisler (özellikle kurumsal hesaplar) admin üzerinden 2FA sıfırlama gibi süreçler sunabilir. Kişisel hesaplarda ise süreç, platformun destek akışına bağlıdır.

2FA uygulaması mı, SMS mi?

Genel güvenlik yaklaşımı olarak:

• Authenticator (TOTP/push) genellikle SMS’e göre daha güçlü kabul edilir.
• SMS, pratik olsa da operatör/hat taşıma gibi risklerle daha kırılgan olabilir.

Sonraki adım: 2FA’yı “kur ve unut” değil, “kur ve sağlamlaştır”

Bugün 10 dakikada yapabileceğiniz en iyi iyileştirme listesi:

• En önemli 3 hesabınızda 2FA’yı authenticator uygulamasına taşıyın.
• Yedek kodları güvenli bir yerde saklayın.
• Kritik hesaplarda mümkünse ikinci bir doğrulama yöntemi ekleyin.

Zihninizi dağıtacak farklı bir şey arıyorsanız ayrıca şu içeriğe de göz atabilirsiniz: Can Sıkıntısına İyi Gelen Siteler

Sıkça Sorulan Sorular

Dış Kaynaklar

• Microsoft Authenticator (resmî sayfa)
• Google Authenticator yardım sayfası
• RFC 6238 — TOTP standardı (IETF)
• Twilio Authy Desktop EOL (resmî duyuru)
• Ente Auth (resmî site)
• Aegis Authenticator (resmî site)
• FreeOTP (resmî site)