Microsoft предупреждает пользователей, что ключи безопасности FIDO2 могут начать требовать ввод PIN-кода при входе в систему после установки обновлений Windows, начиная с сентябрьского предварительного обновления 2025 года.
Такое поведение наблюдается на устройствах под управлением Windows 11, версия 24H2 и Windows 11, версия 25H2, когда провайдер идентификации запрашивает проверку пользователя во время аутентификации.
По словам Microsoft, это преднамеренное изменение, связанное с соблюдением спецификаций WebAuthn, которые определяют, как методы аутентификации — PIN-коды, биометрия, аппаратные ключи — должны обрабатывать запросы на проверку пользователя.
Проверка пользователя (user verification) подтверждает, что пользователь действительно присутствует и имеет право использовать ключ безопасности. Обычно это делается через ввод PIN-кода или биометрический метод. По стандарту WebAuthn, проверка может быть нежелательна (discouraged), желательна (preferred) или обязательная (required). При значении preferred стандарт требует, чтобы платформа настроила PIN-код, если аутентификатор поддерживает проверку пользователя.
Поддержка этой функции начала поэтапно распространяться на все устройства Windows 11 с предварительным обновлением KB5065789, а полное внедрение завершилось ноябрьским обновлением безопасности KB5068861.
Обновления безопасности Windows (ноябрь 2025)
| ОС Windows | Сборка | Версия | Канал | Обновление | ISO-образы | Доступно |
|---|---|---|---|---|---|---|
| Windows 11 | 26200.7171 | 25H2 | Stable | KB5068861 | ISO (MS) | 2025-11-11 |
| Windows 11 | 26100.7171 | 24H2 | Stable | KB5068861 | ISO (MS) | 2025-11-11 |
| Windows 11 | 22631.6199 | 23H2 | Stable | KB5068865 | ISO (UUP) | 2025-11-11 |
| Windows 10 | 19045.6575 | 22H2 | Stable | KB5068781 | ISO (UUP) | 2025-11-11 |
В документе поддержки Microsoft поясняет:
После установки обновления Windows от 29 сентября 2025 года — KB5065789 (OS Builds 26200.6725 и 26100.6725) Preview — или более поздних обновлений, вам может потребоваться создать PIN-код для входа с помощью ключа безопасности, даже если PIN ранее не требовался и не был установлен при первоначальной регистрации.
Далее уточняется:
Такое поведение возникает, когда доверяющая сторона (RP) или провайдер идентификации (IDP) запрашивает User Verification = Preferred во время аутентификации с помощью ключа безопасности FIDO2, на котором не настроен PIN.
Если организации или сервисы не хотят, чтобы пользователи создавали или вводили PIN-коды для ключей безопасности, им нужно выставить параметр user verification в значение discouraged в конфигурации WebAuthn.
Microsoft добавляет:
Поддержка настройки PIN-кода в процессе аутентификации была добавлена для обеспечения единообразия между процессами регистрации и аутентификации.
Ключи безопасности FIDO2 обеспечивают вход без пароля, требуя физического владения USB-, NFC- или Bluetooth-токеном. Технологию все активнее применяют организации, стремящиеся отказаться от традиционных паролей и снизить риски фишинга, кражи учетных данных и других атак, основанных на компрометации паролей.
Последние статьи #Windows
• Microsoft продолжает устранять «белые вспышки» в Проводнике Windows 11
• Microsoft запустила Copilot Cowork — ИИ-агента на базе технологий Anthropic для автоматизации задач в Microsoft 365
• Функция отображения событий в календаре на панели задач Windows 11 отложена: Microsoft переносит запуск
• Microsoft обновила Visual Studio Code: Автопилот для ИИ-агентов и новые инструменты разработки
• Microsoft готовит мартовское обновление Windows 11 (KB5079473): 9 ключевых изменений
• Вторник Патчей, 10 марта 2026 года: Обновления безопасности для Windows 11, ESU-обновления для Windows 10