Исходная дата публикации: 25 ноября 2025 г.
Идентификатор базы знаний: 5073129
Обновленный интерфейс
После установки обновления Windows с 29 сентября 2025 г. по KB5065789 (сборки ОС 26200.6725 и 26100.6725) (предварительная версия) или более поздних обновлений может потребоваться создать ПИН-код для входа с помощью ключа безопасности, даже если пин-код не требовался или не был задан во время первоначальной регистрации.
Такое поведение будет происходить, когда проверяющая сторона (RP) или поставщик удостоверений (IDP) запрашивает User Verification = Preferred во время проверки подлинности с помощью ключа безопасности FAST IDentity Online 2 (FIDO2), который не имеет пин-кода.
Причина
Это поведение, реализованное для соответствия спецификациям WebAuthn.
Поддержка этого поведения стала постепенно развертываться на устройствах Windows 11 после установки предварительного обновления (KB5065789) от 29 сентября 2025 г. Развертывание было завершено на Windows 11 клиентах после установки обновления для системы безопасности Windows с 11 ноября 2025 г. по KB5068861 (сборки ОС 26200.7171 и 26100.7171) или более поздних версий.
Эти обновления добавили поддержку настройки ПИН-кода для ключей безопасности, если он еще не был настроен, когда проверяющие стороны (RP) установили для параметра userVerification значение preferred в PublicKeyCredentialRequestOptions в потоке проверки подлинности WebAuthn.
Краткое описание ситуации
Проверка пользователя (UV) подтверждает, что пользователь присутствует и имеет право использовать ключ безопасности, как правило, с помощью ПИН-кода или биометрии. Для проверки пользователя можно задать значение Discouraged, Preferredили Required.
User Verification = Preferred означает, что RP хочет проверить пользователя, если средство проверки подлинности может это сделать. Это означает, что если необходимо настроить ПИН-код, платформа должна это сделать.
User Verification = Discouraged означает, что RP не требует проверки пользователей. Если ПИН-код не настроен, делать это не нужно (если это не требуется конфигурацией средства проверки подлинности).
Добавлена поддержка настройки ПИН-кода в потоке проверки подлинности, чтобы обеспечить согласованность в потоках регистрации и проверки подлинности.
Новые шаги
Если проверяющая сторона не требует проверки пользователей и не хочет, чтобы пользователи создавали или вводили ПИН-код для ключей безопасности, ей следует задать для параметра userVerification значение "не рекомендуется" в PublicKeyCredentialRequestOptions.
