安装 2025 年 9 月 Windows 预览版更新后，安全密钥可能需要 PIN

更新的体验

安装 Windows 更新（ 2025 年 9 月 29 日）KB5065789 (作系统版本 26200.6725 和 26100.6725) 预览版或更高版本更新后，可能需要创建 PIN 才能使用安全密钥登录，即使在初始注册过程中不需要或设置 PIN 也是如此。

当信赖方 (RP) 或标识提供者 (IDP) 请求使用未设置 PIN 的 Fast IDentity Online 2 (FIDO2) 安全密钥进行身份验证期间 User Verification = Preferred 时，会发生此行为。

原因

这是预期行为，实现的目的是保持符合 WebAuthn 规范。

安装 2025 年 9 月 29 日预览版更新 (KB5065789) 后，开始逐步向Windows 11设备推出此行为支持。 安装 Windows 安全更新（2025 年 11 月 11 日-KB5068861 (作系统内部版本 26200.7171 和 26100.7171) 或更高版本更新）后，已在 Windows 11 客户端上完成推出。

当信赖方 (RP) 在 WebAuthn 身份验证流中的 PublicKeyCredentialRequestOptions 中将“userVerification”设置为“首选”时，这些更新添加了对设置安全密钥 PIN（如果尚未设置）的支持。

背景信息

用户验证 (UV) 确认用户存在并有权使用安全密钥，通常通过 PIN 或生物识别。 用户验证可以设置为 Discouraged、 Preferred或 Required。 

User Verification = Preferred 意味着 RP 希望验证用户验证（如果验证器能够这样做）。 这意味着，如果需要设置 PIN，平台应这样做。

User Verification = Discouraged 表示 RP 不需要用户验证。 如果尚未设置 PIN，则无需 (执行此作，除非验证器配置) 要求。

添加了对身份验证流中的 PIN 设置的支持，以便在注册流和身份验证流之间保持一致。

新步骤

如果信赖方不希望用户验证，并且不希望用户创建或输入安全密钥的 PIN，则应在 PublicKeyCredentialRequestOptions 中将“userVerification”设置为“阻止”。