Microsoft предупреждает пользователей, что ключи безопасности FIDO2 могут начать требовать ввод PIN-кода при входе в систему после установки обновлений Windows, начиная с сентябрьского предварительного обновления 2025 года.
Такое поведение наблюдается на устройствах под управлением Windows 11, версия 24H2 и Windows 11, версия 25H2, когда провайдер идентификации запрашивает проверку пользователя во время аутентификации.
По словам Microsoft, это преднамеренное изменение, связанное с соблюдением спецификаций WebAuthn, которые определяют, как методы аутентификации — PIN-коды, биометрия, аппаратные ключи — должны обрабатывать запросы на проверку пользователя.
Проверка пользователя (user verification) подтверждает, что пользователь действительно присутствует и имеет право использовать ключ безопасности. Обычно это делается через ввод PIN-кода или биометрический метод. По стандарту WebAuthn, проверка может быть нежелательна (discouraged), желательна (preferred) или обязательная (required). При значении preferred стандарт требует, чтобы платформа настроила PIN-код, если аутентификатор поддерживает проверку пользователя.
Поддержка этой функции начала поэтапно распространяться на все устройства Windows 11 с предварительным обновлением KB5065789, а полное внедрение завершилось ноябрьским обновлением безопасности KB5068861.
Обновления безопасности Windows (ноябрь 2025)
| ОС Windows | Сборка | Версия | Канал | Обновление | ISO-образы | Доступно |
|---|---|---|---|---|---|---|
| Windows 11 | 26200.7171 | 25H2 | Stable | KB5068861 | ISO (MS) | 2025-11-11 |
| Windows 11 | 26100.7171 | 24H2 | Stable | KB5068861 | ISO (MS) | 2025-11-11 |
| Windows 11 | 22631.6199 | 23H2 | Stable | KB5068865 | ISO (UUP) | 2025-11-11 |
| Windows 10 | 19045.6575 | 22H2 | Stable | KB5068781 | ISO (UUP) | 2025-11-11 |
В документе поддержки Microsoft поясняет:
После установки обновления Windows от 29 сентября 2025 года — KB5065789 (OS Builds 26200.6725 и 26100.6725) Preview — или более поздних обновлений, вам может потребоваться создать PIN-код для входа с помощью ключа безопасности, даже если PIN ранее не требовался и не был установлен при первоначальной регистрации.
Далее уточняется:
Такое поведение возникает, когда доверяющая сторона (RP) или провайдер идентификации (IDP) запрашивает User Verification = Preferred во время аутентификации с помощью ключа безопасности FIDO2, на котором не настроен PIN.
Если организации или сервисы не хотят, чтобы пользователи создавали или вводили PIN-коды для ключей безопасности, им нужно выставить параметр user verification в значение discouraged в конфигурации WebAuthn.
Microsoft добавляет:
Поддержка настройки PIN-кода в процессе аутентификации была добавлена для обеспечения единообразия между процессами регистрации и аутентификации.
Ключи безопасности FIDO2 обеспечивают вход без пароля, требуя физического владения USB-, NFC- или Bluetooth-токеном. Технологию все активнее применяют организации, стремящиеся отказаться от традиционных паролей и снизить риски фишинга, кражи учетных данных и других атак, основанных на компрометации паролей.
Последние статьи #Windows
• Microsoft: После установки недавних обновлений Windows 11 ключи безопасности могут запрашивать PIN-код
• Dell: Переход на Windows 11 идет значительно медленнее по сравнению с Windows 10
• Обновление KB5070311 (Build 26200.7309) Preview для Windows 11, версия 25H2
• Обновление KB5070311 (Build 26100.7309) Preview для Windows 11, версия 24H2
• Microsoft добавляет страницу «Обновления приложений» в приложение «Параметры» в Windows 11
• Microsoft PowerToys 0.96.1: модуль «Изменение размера изображения» снова работает в Windows 10