Microsoft потвърди, че след последните актуализации на Windows 11, FIDO2 ключовете за сигурност могат да изискват от потребителите да създадат PIN при автентикация, дори ако ключът вече е регистриран. Промяната е част от усилията на компанията да спазва стандартите на WebAuthn за по-добра верификация на потребителите.

Какво се промени?

Нововъведението започна с preview актуализацията KB5065789 на 29 септември 2025 г., за OS Builds 26200.6725 и 26100.6725, и беше разширено чрез актуализация KB5068861 от 11 ноември 2025 г., за OS Builds 26200.7171 и 26100.7171.

След тези промени:

• При влизане в системи, където Relying Party (RP) или Identity Provider (IDP) задава User Verification (UV) като „Preferred“, потребителите без PIN могат да бъдат подканени да създадат такъв.

• Досега PIN се настройваше само по време на регистрация на ключа; сега това се разширява и към автентикационния процес, за да се осигури съответствие със стандарта.

Какво означава User Verification?

WebAuthn определя три нива на UV:

• Discouraged – не е необходим PIN

• Preferred – ако ключът поддържа PIN, потребителят може да бъде подканен да го създаде

• Required – задължителна верификация с PIN или биометрия

Новите актуализации правят системата по-консистентна, но могат да изненадат потребители и предприятия, които досега използваха FIDO2 ключове без PIN.

Как да се справят потребителите?

Microsoft препоръчва:

1. Проверка на настройките: Settings > Accounts > Sign-in options > Security Key

2. Ако е необходимо да се избегне подканването за PIN, RP или IDP могат да зададат “userVerification”: “discouraged” в PublicKeyCredentialRequestOptions.

Това означава, че промяната е умишлена и целенасочена, а не бъг.

Влияние върху предприятията

За организации, които разчитат на FIDO2 за MFA или passwordless влизане, новите подканвания могат да нарушат работни потоци, ако не се направят конфигурационни ревюта. Подобни изненадващи подканвания са наблюдавани и при предишни актуализации от доставчици като Yubico.

Макар промяната да повишава съответствието със стандартите, няма официален начин за връщане към предишното поведение, освен ако UV не се настрои на „discouraged“.

Новите изисквания за PIN при автентикация на FIDO2 ключове в Windows 11 са стъпка към по-сигурни и стандартизирани процеси на верификация. Потребителите и организациите трябва да прегледат конфигурациите си, за да гарантират безпроблемно използване на ключовете, без неочаквани прекъсвания на работните потоци.