- Обновления Windows, выпущенные после сентября 2025 года, могут потребовать ввода PIN-кода при использовании ключей безопасности FIDO2.
- Изменения связаны с приведением процесса аутентификации в соответствие с требованиями спецификаций WebAuthn.
- Организации могут отключить обязательную верификацию PIN-кодом, если это не требуется в их политике безопасности.
Компания Microsoft уведомила пользователей о том, что после установки обновлений Windows, начиная с сентябрьского превью-патча 2025 года, потребуется ввод PIN-кода при использовании ключей безопасности FIDO2 для входа в систему. Это коснётся устройств с операционной системой Windows 11 версий 24H2 и 25H2, когда аутентификация запрашивает проверку пользователя.
Microsoft объясняет такое нововведение необходимостью соответствия недавно доработанным спецификациям WebAuthn, которые регламентируют работу методов аутентификации. В рамках этих стандартов проверка личности пользователя, например, с помощью PIN-кода, биометрии или аппаратного ключа, может быть назначена как обязательная, предпочтительная или нежелательная. В случае, если верификация определена как «предпочтительная», устройство должно запросить ввод PIN-кода, если аутентификатор поддерживает эту функцию.
Поддержка данной опции постепенно распространяется на все устройства с Windows 11 начиная с пакета обновлений KB5065789 Preview и завершается ноябрьским обновлением безопасности KB5068861. В официальном уведомлении Microsoft отмечается, что после установки указанных обновлений пользователям может понадобиться создать PIN-код для работы с ключом безопасности, даже если до этого PIN-код не использовался или не был установлен. При этом ввод PIN-кода потребуется, когда поставщик удостоверений (IDP) или проверяющая сторона (RP) активируют параметр User Verification = Preferred во время аутентификации по протоколу Fast IDentity Online 2 (FIDO2).
Для тех организаций, где введение PIN-кода нежелательно или не предусмотрено политиками безопасности, предусмотрена возможность отключения обязательной верификации через настройки WebAuthn. Следует отметить, что ключи безопасности FIDO2 обеспечивают вход без пароля, используя физический USB-, NFC- или Bluetooth-токен.
Ранее в 2024 году Microsoft анонсировала планы отказа от паролей для более чем миллиарда пользователей в своих сервисах, включая Xbox, Microsoft 365 и Microsoft Copilot. В рамках этих изменений пользователям станут доступны разнообразные способы аутентификации, включая биометрию, PIN-код, ключи безопасности и приложения с двухфакторной проверкой. Новые механизмы направлены на повышение безопасности и удобства входа в учётные записи.
