Původní datum publikování: úterý 25. listopadu 2025
ID znalostní báze: 5073129
Aktualizované prostředí
Po instalaci aktualizace Windows( 29. září 2025) KB5065789 (buildy operačního systému 26200.6725 a 26100.6725) Preview nebo novějších aktualizací může být potřeba vytvořit PIN kód pro přihlášení pomocí klíče zabezpečení, a to i v případě, že pin kód nebyl při počáteční registraci potřeba nebo nastavený.
K tomuto chování dojde, když přijímající strana (RP) nebo zprostředkovatel identity (IDP) požádá o User Verification = Preferred během ověřování pomocí klíče zabezpečení FIDO2 (Fast IDentity Online 2), který nemá nastavený PIN.
Příčina
Toto je zamýšlené chování implementované tak, aby zůstalo v souladu se specifikacemi WebAuthn.
Podpora tohoto chování se začala postupně zavádět na Windows 11 zařízení po instalaci aktualizace Preview (KB5065789) z 29. září 2025. Zavedení bylo dokončeno na Windows 11 klientech po instalaci aktualizace zabezpečení Windows 11. listopadu 2025 – KB5068861 (buildy operačního systému 26200.7171 a 26100.7171) nebo novějších aktualizací.
Tyto aktualizace přidaly podporu pro nastavení PIN kódu pro klíče zabezpečení, pokud ještě nebyl nastavený, když předávající strany nastavily "userVerification" na "preferred" ve publicKeyCredentialRequestOptions v toku ověřování WebAuthn.
Pozadí
Ověření uživatele (UV) potvrzuje, že je uživatel přítomen a má oprávnění používat klíč zabezpečení, obvykle prostřednictvím PIN kódu nebo biometriky. Ověření uživatele je možné nastavit na Discouraged, Preferrednebo Required.
User Verification = Preferred znamená, že poskytovatel prostředků chce ověřit uživatele, pokud je to ověřovací proces schopen. To znamená, že pokud je potřeba pin kód nastavit, měla by to udělat platforma.
User Verification = Discouraged znamená, že poskytovatel prostředků nechce ověření uživatele. Pokud pin kód není nastavený, není to nutné (pokud to nevyžaduje konfigurace ověřovatele).
Byla přidána podpora pro nastavení PIN kódu v toku ověřování, aby byla konzistentní napříč toky registrace i ověřování.
Nové kroky
Pokud přijímající strana nechce ověření uživatele a nechce, aby uživatelé vytvářeli nebo zadávali PIN kód pro klíče zabezpečení, měla by v poli PublicKeyCredentialRequestOptions nastavit vlastnost userVerification na hodnotu discouraged.
