原始出版日期: 2025年11月25日
KB ID:5073129
更新的體驗
安裝 Windows 更新後,於 2025 年 9 月 29 日安裝 Windows 更新——KB5065789 (作業系統版本 26200.6725 與 26100.6725) 預覽版,或更新後續更新,你可能需要建立 PIN 才能使用安全金鑰登入,即使初始註冊時並未設定或未啟用 PIN。
當信賴方 (RP) 或身份提供者 (IDP) 在驗證過程中,使用 Fast IDentity Online 2 (FIDO2) 安全金鑰(未設定 PIN)時, User Verification = Preferred 請求時,會發生此行為。
原因
這是預期行為,實作時能符合 WebAuthn 規範。
在安裝 2025 年 9 月 29 日的預覽更新 (KB5065789) 後,對此行為的支援開始逐步推送到 Windows 11 裝置。 在安裝 Windows 安全更新後,於 2025 年 11 月 11 日完成Windows 11客戶端的部署,該更新KB5068861 (作業系統版本 26200.7171 及 26100.7171) 或更新版本。
這些更新新增了設定安全金鑰 PIN 的支援,前提是 Reliing Parties (RP) 在 WebAuthn 認證流程中的 PublicKeyCredentialRequestOptions 中將「userVerification」設為「preferred」。
背景
使用者驗證 (UV) 確認使用者在場並授權使用安全金鑰,通常透過 PIN 碼或生物辨識。 使用者驗證可設定為 Discouraged、 Preferred或 Required。
User Verification = Preferred 表示若驗證器能做到,RP 希望用戶驗證。 這表示如果需要設定 PIN,平台應該會自動設定。
User Verification = Discouraged 表示 RP 不需要使用者驗證。 若尚未設定 PIN碼,除非驗證器設定) 要求,否則無需 (設定。
為了在註冊與驗證流程間保持一致,新增了在認證流程中設定 PIN 的支援。
新步驟
如果依賴方不希望使用者驗證,也不希望使用者建立或輸入安全金鑰的 PIN,他們應該在 PublicKeyCredentialRequestOptions 中將「userVerification」設為「不鼓勵」。
