Google Authenticator Aktarımı: 2FA`yı Yeni Bir Telefona Taşıma

Kimlik doğrulama kodlarınızı içeren telefonu kaybederseniz, Coinbase hesabınıza tekrar erişmeden önce sizi 48 ila 72 saatlik bir kimlik doğrulama kuyruğuna alır. Binance bir hafta sürebilir. Küçük bir borsa bir ay sürebilir. Bu, taşınmamış bir kimlik doğrulama sisteminin bedelidir ve bu kılavuzun var olma sebebi de budur.

Bu kılavuz, Google Authenticator'ı iOS veya Android'de, her iki yönde de, gerçekten işe yarayan iki yöntem kullanarak nasıl aktaracağınızı ele almaktadır: Mayıs 2020'den beri telefonunuzdaki uygulamayla birlikte gelen QR kod dışa aktarma ve Nisan 2023'te gelen ve anlaşılması gereken bir güvenlik uyarısı içeren Google hesap bulut senkronizasyonu. Ayrıca, eski telefonun kaybolması veya çalınması durumunda yaşanabilecek panik durumunu, 2FA kodlarını yeni bir telefona taşımanın zorluklarını ve kurtarmanın her zaman mümkün olmadığı yüksek değerli çevrimiçi hesaplar için ne yapılması gerektiğini de ele almaktadır. Amaç: Hesaplarınıza erişiminizi kaybetmeden Google Authenticator'ı taşımak ve ardından Google Authenticator kodlarınızı güvende tutmak.

Telefonunuzu değiştirmeden önce Google Authenticator aktarımının neden önemli olduğu

SMS ile iki faktörlü kimlik doğrulama (2FA), SIM kartla birlikte devre dışı kalır. Numara taşıma saldırısı, operatör değişikliği, hatta başarısız bir eSIM transferi bile kodun başka birinin telefonuna geçmesine neden olur. FBI'ın 2024 İnternet Suçları Raporu, 982 SIM değiştirme şikayeti ve 25,98 milyon dolarlık doğrudan kayıp kaydetti (2022'deki 72,65 milyon dolardan düşüş gösterse de, aynı dolandırıcılık yöntemleri kimlik hırsızlığı ve kripto cüzdanlarının boşaltılmasına giden yol olmaya devam ediyor). Kimlik doğrulama uygulamasından gelen tek kullanımlık kodlar, operatör ağında değil, cihazın güvenli depolama alanında bulunur; bu nedenle Microsoft yıllardır iki faktörlü kimlik doğrulamanın etkinleştirilmesinin otomatik hesap ele geçirme girişimlerinin %99,9'undan fazlasını engellediğini söyleyebiliyor.

Dezavantajı açıkça ortada. Her kod tek bir telefonda saklı. Telefonu nehre düşürürseniz, yanlışlıkla fabrika ayarlarına sıfırlarsanız, çocuğunuza "beş dakikalığına" verirseniz, her serviste kurtarma işlemini tamamlayana kadar hesaplarınıza erişemezsiniz. Bu nedenle kodlarınızı kaydedin, kodları yalnızca kontrolünüzdeki bir cihazda oluşturun ve yeni bir telefona geçişi rutin bir bakım işlemi gibi ele alın.

Başlamadan önce: Her iki telefonunuzda da Google Authenticator uygulamasını hazırlayın.

Başarısız transferlerin şaşırtıcı bir kısmı, bozuk yazılımdan değil, atlanmış hazırlıktan kaynaklanıyor. Üç şey, diğer her şeyden daha sık başarısızlığa yol açıyor: eski bir uygulama, biyometrik kimlik doğrulama ayarlanmamış olması ve sorunlu bir Wi-Fi bağlantısı. Eski telefonda Google Authenticator uygulamasını açın ve başlatılıp güncel kodları gösterdiğinden emin olun. Google Play (Android 7.0 veya üzeri, 14 Kasım 2024'te yayınlandı) veya App Store üzerinden güncelleyin. Yeni telefona aynı Google Authenticator uygulamasını yükleyin, her zamanki Google hesabınızla oturum açın, biyometrik kimlik doğrulamayı etkinleştirin — dışa aktarma istemi, parmak izi veya yüz tanıma olmadan QR kodunu göstermeyi reddediyor. Her iki cihazı da prize takın, aynı güvenilir Wi-Fi ağına bağlayın, VPN'leri devre dışı bırakın.

Telefonlar güncellenirken, kimlik doğrulama uygulamasına bağlı her hizmeti listeleyin. Çoğu insanın farkında olmadan on veya daha fazla kimlik doğrulama hesabı vardır: her Google hesabı, GitHub, her Exchange, parola yöneticisi, AWS konsolu, CMS. Aşağıdaki tablo, insanları en sık kilitleyen hizmetler için yedek kodlarının nerede bulunduğunu gösterir. Bu listeyi ve her hizmet için güçlü parolaları elinizin altında bulundurun; bazı kurtarma akışları, eski cihazın bağlantısını kesmeden önce her ikisini de ister.

Dışa aktarma ve içe aktarma: Google Authenticator'ınızı QR koduyla aktarın.

QR kod ile dışa aktarma özelliği Mayıs 2020'de kullanıma sunuldu. Google'ın kendi iOS yardım sayfasında da önerilen yöntem olmaya devam ediyor ve seçilen her hesap için seed'leri araya herhangi bir sunucu girmeden bir telefondan diğerine taşıyor. Bulut yok, Google hesabı yok.

Eski telefondan başlayın. Uygulamayı açın ve menüyü bulun — Android sol üst köşeye üç yatay çizgi koyar; iPhone ise genellikle sağ üst köşeye üç nokta koyar, ancak bazı sürümler bunları alta gizler. Menüye dokunun, Hesapları Aktar'ı ve ardından Hesapları Dışa Aktar'ı seçin. Uygulama sizden parmak izi, Face ID veya cihaz parolanızı isteyecektir. Biyometrik istemi geçtikten sonra, cihazdaki tüm Google Authenticator hesaplarının bir listesini göreceksiniz. Taşımak istediğiniz hesapları işaretleyin (kutucuk çoklu seçime izin verir) ve İleri'ye dokunun. Şimdi uygulama, aynı anda on hesaba kadar şifrelenmiş tohum materyali içeren bir QR kodu oluşturacaktır. Ondan fazla hesabınız mı var? Numaralandırılmış bir QR kodları sırası göreceksiniz ve uygulama size hangi koda baktığınızı söyleyecektir.

Şimdi yeni telefona geçelim. Google Authenticator uygulamasını açın, Başla'ya dokunun veya uygulama zaten başlatılmışsa sağ alt köşedeki artı simgesine dokunun. QR kodunu tara'yı seçin. İçe aktarma adımı, mevcut bir hesaptan içe aktarıp aktarmadığınızı sorarsa, evet deyin. Yeni telefonu eski telefonun ekranının önüne tutun ve kameranın QR koduna kilitlenmesini bekleyin. Yeni cihaz, içe aktarılan her hesabı listeler. Toplu işlemdeki diğer QR kodları için İleri'ye dokunun.

Orijinal kodlar eski telefonda kalır. Önce yeni cihazı doğrulayın, ardından temizleyin. Bağlı bir hizmeti açın, oturum açın ve yeni kimlik doğrulama kodundan gelen altı haneli doğrulama kodunun hizmetin beklediğiyle eşleştiğini kontrol edin. İki hizmet de sorunsuz bir şekilde giriş yapmanıza izin verdikten sonra, eski telefonun uygulamasından girişleri kaldırın veya daha iyisi, eski cihazı yeniden satış için sıfırlayın.

Uygulamada birkaç şey ters gidebilir. Android'den Android'e aktarım neredeyse her zaman sorunsuz gerçekleşir. Android'den iPhone'a aktarımda, özellikle QR kod tarama adımı beşten fazla giriş kodladığında, bazı hesaplar içe aktarıldıktan sonra görüntülenemeyebilir; toplu işlem boyutunu azaltın ve tekrar deneyin. iPhone'dan Android'e aktarım bazen dışa aktarma ekranında takılı kalır çünkü Google'ın iOS uygulaması Android uygulamasından geridedir; bu durumda, uygulamayı zorla kapatın, yeniden açın ve dışa aktarmayı tekrar başlatın. Her iki cihazda da VPN, bazı VPN istemcilerinde kamera hızının kısıtlanması nedeniyle taramayı bozabilir. Aktarım için VPN'i devre dışı bırakın. QR kodunda taşınan aktarım kodları zamana bağlıdır, bu nedenle yeni telefonun saati yanlışsa içe aktardıktan sonra geçersiz kodlar görebilirsiniz — uygulama menüsünü açın ve cihaz saatini yeniden senkronize etmek için Kodlar için Zaman düzeltmesi seçeneğine dokunun.

Google Authenticator kodlarını Google hesabınızla senkronize edin.

24 Nisan 2023'te Android'de 6.0 ve iOS'ta 4.0 sürümüyle eklenen bulut senkronizasyonu, kolaylık sağlayan bir yöntemdir. Etkinleştirildikten sonra, eklediğiniz veya kaldırdığınız her kod, QR kodlarına gerek kalmadan aynı Google hesabına giriş yapmış tüm telefonlarda görünür. Çoğu sıradan giriş için bu tam olarak insanların istediği şeydir.

Güvenlik uyarısı üzerinde durmakta fayda var. Nisan 2023 lansmanından sonraki 48 saat içinde, Mysk Inc.'deki güvenlik araştırmacıları, TOTP tohumlarını Google'ın sunucularına taşıyan trafiğin uçtan uca şifrelenmediğini gösterdi. Google, "ilerleyen zamanlarda" uçtan uca şifreleme ekleyeceğine dair kamuoyuna söz verdi, ancak bu yazının yazıldığı sırada senkronizasyon yalnızca Google'ın kendi sunucu tarafı şifrelemesiyle korunuyor; bu da Google'ın kendisinin teknik olarak tohumları okuyabileceği anlamına geliyor. Spotify veya Twitter hesabı için bu, erişim kaybına karşı kabul edilebilir bir ödün. Ancak, ana parola yöneticisi veya emanetçi kripto para borsası için QR yöntemini tercih ederim ve sürtünmeyi kabul ederim.

Senkronizasyonu açmak için eski telefonda Google Authenticator uygulamasını açın, sağ üst köşedeki avatar veya profil simgesine dokunun ve yedek olarak kullanmak istediğiniz Google hesabıyla oturum açın. Senkronize edilen her girişin yanında yeşil bir bulut göstergesi belirir. Yeni telefonda aynı uygulamayı açın, aynı Google hesabıyla oturum açın ve kodlar birkaç saniye içinde görünür. Taranacak bir QR kodu veya biyometrik istem yoktur.

Eğer neredeyse hiç sürtünme yaratmayan bir Google Authenticator transferi istiyorsanız, senkronizasyon çözümdür; ancak uçtan uca şifreleme (E2EE) içermeyen tasarımına güvenmiyorsanız, bunu yalnızca düşük değerli hesaplar için kullanın. Yüksek değerli anahtarları (bankacılık, kripto para, ciddi GitHub hesapları) QR dışa aktarımı yoluyla tek bir cihaza bağlayın veya tamamen bir parola anahtarına veya donanım anahtarına taşıyın. CISA'nın 2022 tarihli ve 2024'te yeniden onaylanan kimlik avına dayanıklı MFA bilgi notunda, FIDO2 donanım anahtarları herhangi bir TOTP yönteminin üzerinde yer almaktadır.

Eski telefonu kullanmadan Google Authenticator'ı yeni bir cihaza kurun.

Eski telefonunuz zaten kaybolmuş, çalınmış veya kullanılamaz hale gelmişse, yukarıdaki yöntemlerin hiçbiri işe yaramaz çünkü hepsi kaynak cihaza ihtiyaç duyar. Kayıptan önce senkronizasyonu açmadıysanız "buluttan geri yükleme" seçeneği yoktur. Aşağıdakiler tek seçenektir ve yavaştır.

Bağlı her hizmet için farklı bir şekilde giriş yapmanız ve 2FA'yı yeni telefona ayrı ayrı yeniden bağlamanız gerekir. Yedek kodlar hesabınızı kurtarmanın en hızlı yoludur: Google, 2FA kurulumu sırasında Google hesabınızdan on adet tek kullanımlık yedek kod verir, GitHub on altı, çoğu borsa ise sekiz ila on iki kod verir. Bunları bir parola yöneticisinde kaydettiyseniz veya yazdırdıysanız, birini kullanarak giriş yapın, ardından doğrudan Güvenlik ayarlarına gidin, eski kimlik doğrulayıcı bağlantısını başka bir cihazdan kaldırın ve kodları tekrar Google hesabınıza göndermek için yeni bir QR kodunu tarayarak yeni telefonu eşleştirin.

Yedek kodlarınız yoksa, yavaş ilerlersiniz. Coinbase Yardım belgelerinde 2FA sıfırlamasının 48 ila 72 saat sürdüğü, kimlik doğrulama devreye girdiğinde ise bu sürenin daha da uzadığı belirtiliyor. Bazı bankalar şubeye gitmeyi gerektiriyor. Öğrenilmesi gereken ders: Google Authenticator'ı ilk etkinleştirdiğiniz gün, şifre yöneticinize bağlı yedek kodlarla kurun ve telefonunuzun olmadığı bir yerde saklanacak bir kağıt kopyasını yazdırın. Her iki durumda da, Authenticator tarafından kilitlenen her çevrimiçi hesap için bir kullanıcı adı ve kurtarma e-postası kontrol listesi tutun.

Erişim kaybı yaşamadan 2FA kodlarını Android ve iPhone arasında taşıyın.

Çapraz platform geçişi, en çok yardım talebinin toplandığı alandır. Google Authenticator aktarımı iOS ve Android arasında her iki yönde de çalışır, ancak iki hata modu tekrar eder. Birincisi, QR taramasının başarılı bir şekilde dışa aktarılması ve yeni cihazın yalnızca hesapların bir alt kümesini göstermesidir. Bu, özellikle iOS uygulaması QR kodunu oluşturduğunda, neredeyse her zaman QR başına on hesap sınırının sessizce devreye girmesinden kaynaklanır. Dışa aktarma işlemini bir seferde beş hesaba düşürün. İkincisi, kodlar açıkça çalışıyor olmasına rağmen iOS'ta dışa aktarma menüsünde "dışa aktarılacak hesap yok" yazmasıdır. 2026 sürümlerindeki çözüm, en son TestFlight veya App Store sürümüne güncellemek, uygulamayı zorla kapatmak ve cihazın biyometrik ayarını bir kez kapatıp açmaktır.

Taramadan önce her bir dışa aktarma QR kodunun ekran görüntüsünü alın (ikinci bir cihazda veya yazdırarak). Herhangi bir cihaz QR kodunu tarayarak içe aktarabilir, ancak Google aynı dışa aktarmayı yeniden oluşturmanıza izin vermez, bu nedenle temiz bir ekran görüntüsü, beş dakikalık bir çalışma ile yukarıdaki panik durumuna düşme arasındaki farkı yaratır. İster iOS ister Android'de geçiş yapıyor olun, bu QR ekran görüntülerini güvenli bir şekilde (şifrelenmiş bir parola yöneticisi notunda) saklamak en ucuz sigortadır.

Kripto para borsaları ve Web3 ile Google Authenticator hesaplarını kullanın.

Kripto para borsası veya cüzdanındaki hesap ele geçirme işlemi işlevsel olarak geri döndürülemez: fonlar bir kez hareket ettirildikten sonra, artık geri alınamaz. Kimlik doğrulama kodları minimum standarttır ve Microsoft'un 2024 yılına kadar saldırganların aracı olarak kullandığı kimlik avı saldırılarında yıllık %146'lık bir artış bildirmesi, TOTP'nin bile tek başına yeterli olmadığını gösteriyor. Mayıs 2026'daki "davranış kuralları" AiTM kampanyası, 26 ülkede 13.000 kuruluşta 35.000'den fazla kullanıcıyı etkiledi; saldırganlar meşru giriş sayfalarını proxy'ledi, TOTP kodunu gerçek zamanlı olarak yakaladı ve kullanıcı fark etmeden önce oturum çerezini çaldı. Öncelikle ana Google hesabınıza bir donanım anahtarı (YubiKey veya benzeri) bağlayın, ardından borsa tarafında Kimlik Doğrulayıcıyı ekleyin ve Kimlik Doğrulayıcının çalıştığı onaylandığı anda SMS 2FA'yı devre dışı bırakın. FBI'ın 2024 IC3 rakamları, toplam siber suç kayıplarını 16,6 milyar dolar olarak gösteriyor ve kripto ile ilgili şikayetler her yıl artmaya devam ediyor.

Kripto ödeme işlemcileri, borsalarla aynı muameleyi hak ediyor. Örneğin Plisio, satıcı hesapları için TOTP'yi destekliyor ve Google Authenticator (veya TOTP uyumlu herhangi bir uygulama) aracılığıyla bağlanması, giden işlemleri kontrol eden kontrol panelini koruyor. Yeni bir telefona geçiş yaparken, ödeme ağ geçidi kontrol panelini sıcak cüzdan gibi ele alın: yalnızca QR dışa aktarımı, bulut senkronizasyonu yok, taşıma işleminden sonra yeni yedekleme kodları oluşturulup saklanıyor.

Google Authenticator uygulamasına alternatif olarak değerlendirmeye değer uygulamalar

Authy'nin çöküşü piyasayı altüst etti. 19 Mart 2024'te Twilio, Authy'nin masaüstü uygulamalarını, başlangıçta duyurulan Ağustos tarihinden aylar önce devre dışı bıraktı. Ardından Temmuz 2024'te saldırganlar, kimlik doğrulaması yapılmamış bir API aracılığıyla 33.420.546 Authy telefon numarasını ele geçirdi ve Twilio ihlali doğruladı. Dört ay içinde iki saldırı. Authy kullanıcıları dağıldı.

Apple, Eylül 2024'te bilinmesi gereken sessiz bir şey yaptı. iOS 18, iCloud Anahtar Zinciri'ni, TOTP kodlarını yerel olarak üreten, Safari'de otomatik doldurma özelliğine sahip ve uçtan uca şifrelemeyle senkronize olan özel bir Parola uygulamasına dönüştürdü. Sadece Apple kullanıcıları için bu, ayrı bir kimlik doğrulama uygulamasına olan ihtiyacı tamamen ortadan kaldırıyor. Diğer herkes için yukarıdaki tablo kısa listeyi sunuyor.

Aktarımdan sonra Google Authenticator kodlarınızı güvenli bir yerde saklayın.

İçe aktarma işlemi bittiği anda bu listeyi gözden geçirin. Yeni telefondan en önemli üç bağlı hizmete giriş yapın ve kodların çalıştığını ve kimlik doğrulama uygulamasının ana ekranında beklediğiniz tüm hesapların göründüğünü doğrulayın. Yeni taşıdığınız her hizmet için yedek kodlar oluşturun; bunları bir parola yöneticisinde ve farklı yerlerde kağıda kaydedin. Yeni telefona vermeden önce Find My iPhone veya Android Find My Device uygulamasıyla eski telefonu silin. Ana Google hesabı için, üzerine bir parola veya donanım güvenlik anahtarı ekleyin, böylece Authenticator uygulamanızın yüklü olduğu başka bir telefon bile tek başına yeterli olmaz. Bu katmanlı kurulum, Microsoft'un 2026'ya kadar takip ettiği AiTM kampanyalarını durdurur. Daha da önemlisi, bir sonraki Google Authenticator aktarımını panik yerine on beş dakikalık bir işe dönüştürür.

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.