Microsoft: ключи безопасности FIDO2 могут потребовать ввести PIN-код при входе в систему после апдейта Windows

Microsoft предупредила пользователей, что ключи безопасности FIDO2 могут требовать ввода PIN-кода при входе в систему после установки обновлений Windows, выпущенных после сентября 2025 года.

Такое поведение можно наблюдать на устройствах под управлением Windows 11 версий 24H2 или 25H2, когда поставщик удостоверений запрашивает проверку пользователя во время аутентификации.

Microsoft заявляет, что это изменение внесено, чтобы соответствовать спецификациям WebAuthn. Они определяют, как методы аутентификации, такие как PIN-коды, биометрия и аппаратные ключи безопасности, должны обрабатывать запросы на проверку пользователя.

Проверка обычно проводится с помощью PIN-кода или биометрического сканирования. Согласно стандартам WebAuthn, её можно назначить как нежелательную, предпочтительную или обязательную. Если установлено значение «предпочтительно», стандарт требует, чтобы платформы вводили PIN-код, если аутентификатор поддерживает проверку пользователя.

Поддержка этой функции начала постепенно внедряться на все устройства с Windows 11 после обновления KB5065789 Preview и завершилась выпуском обновления безопасности KB5068861 за ноябрь. «После установки обновления Windows Preview от 29 сентября 2025 г. — KB5065789 (сборки ОС 26200.6725 и 26100.6725) Preview или более поздних обновлений вам может потребоваться создать PIN-код для входа с помощью ключа безопасности, даже если PIN-код не требовался или не был установлен при первоначальной регистрации. Такое поведение будет наблюдаться, когда проверяющая сторона (RP) или поставщик удостоверений (IDP) запрашивает User Verification = Preferred во время аутентификации с помощью ключа безопасности Fast IDentity Online 2 (FIDO2), для которого не установлен PIN-код», — говорится в