Вихідна дата публікації: 25 листопада 2025 р.
Ідентифікатор KB: 5073129
Оновлений функціонал
Після інсталяції оновлення Windows 29 вересня 2025 р. – KB5065789 (збірки ОС 26200.6725 і 26100.6725) Підготовча версія або пізніша версія оновлень може знадобитися створити PIN-код для входу за допомогою ключа безпеки, навіть якщо PIN-код не потрібен або його встановлено під час початкової реєстрації.
Така поведінка виникає, коли постачальник посвідчень (RP) або постачальника посвідчень (IDP) запитує User Verification = Preferred під час автентифікації за допомогою ключа безпеки Fast IDentity Online 2 (FIDO2 ), який не має набору PIN-кодів.
Причина
Це запланована поведінка, реалізована, щоб залишатися сумісною зі специфікаціями WebAuthn.
Підтримка цієї поведінки почала поступово розгортатися для Windows 11 пристроїв після інсталяції підготовчого оновлення (KB5065789) від 29 вересня 2025 р. Розгортання завершено для клієнтів Windows 11 після інсталяції оновлення системи безпеки Windows 11 листопада 2025 р. –KB5068861 (збірки ОС 26200.7171 і 26100.7171) або пізніших оновлень.
Ці оновлення додали підтримку налаштування PIN-коду для ключів безпеки, якщо його ще не було налаштовано, коли сторони, що покладаються (RP), встановили "userVerification" на "бажане" в PublicKeyCredentialRequestOptions у потоці автентифікації WebAuthn.
Основні відомості
Перевірка користувача (UV) підтверджує, що користувач присутній і має право використовувати ключ безпеки, зазвичай за допомогою PIN-коду або біометричної системи. Для перевірки користувача можна встановити Discouraged, Preferredабо Required.
User Verification = Preferred означає, що RP хоче перевірити користувача, якщо автентифікатор здатний це зробити. Це означає, що якщо потрібно налаштувати PIN-код, платформа має це зробити.
User Verification = Discouraged означає, що RP не хоче перевірки користувача. Якщо PIN-код не настроєно, це не потрібно робити (якщо це не вимагається конфігурацією автентифікатора).
Підтримка настроювання PIN-коду в потоці автентифікації була додана, щоб узгодити процес реєстрації та автентифікації.
Нові кроки
Якщо стороння сторона, що перевіряє користувачів, не хоче, щоб користувачі створюють або вводили PIN-код для ключів безпеки, їм слід установити для параметра "userVerification" значення "не рекомендується" в PublicKeyCredentialRequestOptions.
