Data de publicare inițială: 25 noiembrie 2025
ID KB: 5073129
Experiență actualizată
După ce instalați Windows Update, 29 septembrie 2025 - KB5065789 (versiunile de sistem de operare 26200.6725 și 26100.6725) sau actualizări mai recente, este posibil să vi se solicite să creați un PIN pentru a vă conecta cu o cheie de securitate, chiar dacă nu a fost necesar un cod PIN sau nu a fost setat în timpul înregistrării inițiale.
Acest comportament va apărea atunci când o parte intermediară de încredere (RP) sau un furnizor de identitate (IDP) solicită User Verification = Preferred în timpul autentificării cu o cheie de securitate Fast IDentity Online 2 (FIDO2) care nu are un set de pini.
Cauză
Acesta este comportamentul intenționat, implementat pentru a rămâne conform cu specificațiile WebAuthn.
Asistența pentru acest comportament a început treptat să fie implementată pentru Windows 11 dispozitive după instalarea actualizării de previzualizare (KB5065789) din 29 septembrie 2025. Lansarea a fost finalizată pe clienții Windows 11 după instalarea actualizării de securitate Windows, 11 noiembrie 2025 - KB5068861 (versiunile de sistem de operare 26200.7171 și 26100.7171) sau actualizări mai recente.
Aceste actualizări au adăugat suport pentru configurarea unui COD PIN pentru cheile de securitate, dacă acesta nu a fost configurat deja, atunci când părțile intermediare de încredere (RP) au setat "userVerification" la "preferred" în PublicKeyCredentialRequestOptions în fluxul de autentificare WebAuthn.
Fundal
Verificarea utilizatorului (UV) confirmă că utilizatorul este prezent și autorizat să utilizeze o cheie de securitate, de obicei printr-un cod PIN sau biometric. Verificarea utilizatorului poate fi setată la Discouraged, Preferredsau Required.
User Verification = Preferred înseamnă că RP dorește verificarea utilizatorului dacă autentificatorul este capabil să facă acest lucru. Aceasta înseamnă că, dacă trebuie configurat un cod PIN, platforma ar trebui să facă acest lucru.
User Verification = Discouraged înseamnă că pr. RP nu dorește verificarea utilizatorului. Dacă nu a fost configurat un cod PIN, nu este nevoie să faceți acest lucru (cu excepția cazului în care configurația de autentificare solicită acest lucru).
Suportul pentru configurarea codului PIN în fluxul de autentificare a fost adăugat pentru a fi consecvent atât în fluxurile de înregistrare, cât și în fluxurile de autentificare.
Pași noi
Dacă Partea intermediară de încredere nu dorește verificarea utilizatorului și nu dorește ca utilizatorii să creeze sau să introducă un PIN pentru cheile de securitate, ar trebui să seteze "userVerification" la "descurajat" în PublicKeyCredentialRequestOptions.
