Първоначална дата на публикуване: 25 ноември 2025 г.
ИД на КБ: 5073129
Актуализирана среда за работа
След инсталиране на актуализацията на Windows, 29 септември 2025 г. – KB5065789 (компилации на ОС 26200.6725 и 26100.6725) за предварителен преглед или по-нови актуализации, може да се наложи да създадете ПИН код за влизане с ключ за защита дори ако пин код не е задължителен или зададен по време на първоначалната регистрация.
Това поведение ще възникне, когато проверяваща страна (RP) или доставчик на самоличност (IDP) поиска User Verification = Preferred по време на удостоверяване с ключ за защита Fast IDentity Online 2 (FIDO2 ), който няма зададен ПИН код.
Причина
Това е предвидено поведение, приложено, за да остане съвместимо със спецификациите на WebAuthn.
Поддръжката за това поведение започна постепенно да се пуска за Windows 11 устройства след инсталирането на актуализацията от 29 септември 2025 г. за предварителен преглед (KB5065789). Внедряването е завършено на Windows 11 клиенти след инсталирането на актуализацията на защитата на Windows, 11 ноември 2025 г. – KB5068861 (компилации на ОС 26200.7171 и 26100.7171) или по-нови актуализации.
Тези актуализации добавиха поддръжка за настройване на ПИН за ключове за защита, ако вече не е настроен, когато проверяващите страни (RP) задават "userVerification" на "предпочитан" в PublicKeyCredentialRequestOptions в потока за удостоверяване WebAuthn.
Предварителна информация
Проверката на потребителя (UV) потвърждава, че потребителят е наличен и упълномощен да използва ключ за защита, обикновено чрез ПИН код или биометрични данни. Проверката на потребителя може да бъде зададена на Discouraged, Preferredили Required.
User Verification = Preferred означава, че RP иска проверка на потребителя, ако удостоверителят може да направи това. Това означава, че ако пин кодът трябва да бъде настроен, платформата трябва да го направи.
User Verification = Discouraged означава, че RP не иска проверка на потребителя. Ако пин кодът не е настроен, не е необходимо да го правите (освен ако не се изисква от конфигурацията на удостоверителя).
Поддръжката за настройване на ПИН в потока на удостоверяване е добавена, за да бъде съгласувана както при потоците за регистрация, така и за удостоверяване.
Нови стъпки
Ако проверяващата страна не иска проверка на потребителя и не иска потребителите да създават или въвеждат ПИН за ключове за защита, те трябва да зададат "userVerification" на "обезсърчен" в PublicKeyCredentialRequestOptions.
