Ursprüngliches Veröffentlichungsdatum: 25. November 2025
KB-ID: 5073129
Aktualisierte Benutzeroberfläche
Nach der Installation des Windows-Updates vom 29. September 2025 – KB5065789 (BS-Builds 26200.6725 und 26100.6725) Preview, müssen Sie möglicherweise eine PIN erstellen, um sich mit einem Sicherheitsschlüssel anzumelden, auch wenn während der ersten Registrierung keine PIN erforderlich oder festgelegt wurde.
Dieses Verhalten tritt auf, wenn eine vertrauende Seite oder ein Identitätsanbieter (Identity Provider, IDP) User Verification = Preferred während der Authentifizierung mit einem FIDO2-Sicherheitsschlüssel (Fast IDentity Online 2) anfordert , für den keine PIN festgelegt ist.
Ursache
Dies ist beabsichtigtes Verhalten, das implementiert wird, um mit den WebAuthn-Spezifikationen konform zu bleiben.
Die Unterstützung für dieses Verhalten wurde nach der Installation des Vorschauupdates (KB5065789 vom 29. September 2025) schrittweise auf Windows 11 Geräten eingeführt. Der Rollout wurde auf Windows 11 Clients nach der Installation des Windows-Sicherheitsupdates am 11. November 2025 KB5068861 (Betriebssystembuilds 26200.7171 und 26100.7171) oder höher abgeschlossen.
Diese Updates haben Unterstützung für das Einrichten einer PIN für Sicherheitsschlüssel hinzugefügt, wenn sie nicht bereits eingerichtet wurde, wenn vertrauende Parteien "userVerification" in PublicKeyCredentialRequestOptions im WebAuthn-Authentifizierungsflow auf "bevorzugt" festlegen.
Hintergrund
Die Benutzerüberprüfung (User Verification, UV) bestätigt, dass der Benutzer vorhanden und zur Verwendung eines Sicherheitsschlüssels berechtigt ist, in der Regel über eine PIN oder biometrisch. Die Benutzerüberprüfung kann auf Discouraged, Preferredoder Requiredfestgelegt werden.
User Verification = Preferred bedeutet, dass der Benutzeranbieter eine Benutzerüberprüfung wünscht, wenn der Authentifikator dazu in der Lage ist. Das bedeutet, dass die Plattform dies tun sollte, wenn eine PIN eingerichtet werden muss.
User Verification = Discouraged bedeutet, dass der Rp keine Benutzerüberprüfung wünscht. Wenn keine PIN eingerichtet wurde, ist dies nicht erforderlich (es sei denn, dies ist durch die Authentifikatorkonfiguration erforderlich).
Die Unterstützung für die PIN-Einrichtung im Authentifizierungsflow wurde hinzugefügt, um sowohl für Registrierungs- als auch für Authentifizierungsflows konsistent zu sein.
Neue Schritte
Wenn die vertrauende Seite keine Benutzerüberprüfung wünscht und nicht möchte, dass Benutzer eine PIN für Sicherheitsschlüssel erstellen oder eingeben, sollten sie "userVerification" in PublicKeyCredentialRequestOptions auf "entmutigt" festlegen.
