微软确认Win11九月可选更新开始,部分FIDO2密钥将强制设PIN码。
11月28日,据消息,微软于周二(11月25日)发布技术公告,确认在安装2025年9月预览版及之后的更新后,使用FIDO2安全密钥登录Windows 11(24H2或25H2版本)的用户可能被强制要求输入PIN码。
根据相关博文介绍,用户在使用USB、NFC或蓝牙安全密钥登录Windows 11(24H2或25H2版本)时,即使之前未进行过该设置,系统也可能提示并强制要求输入PIN码。
微软强调,这一行为改变并非系统漏洞,而是为了严格遵守 WebAuthn 规范而做出的有意调整。WebAuthn 标准定义了 PIN 码、生物识别和硬件密钥在验证用户身份时的具体交互逻辑。
根据该标准,“用户验证”(User Verification)用于确认操作者是否为授权用户本人且就在现场,该验证机制在配置中可被设定为“不建议”(discouraged)、“首选”(preferred)或“必须”(required)。
当依赖方(RelyingParty)或身份提供商(IDP)在验证过程中将参数设置为“UserVerification=Preferred”时,如果验证设备(如安全密钥)具备该功能,系统将要求用户必须设置并使用PIN码。
微软指出,这一功能自2025年9月29日发布的预览更新KB5065789开始支持,并在11月的安全更新KB5068861中实现全面覆盖。从技术演进的角度看,微软在安全功能的逐步推进上显得更加谨慎和系统化,这种分阶段部署的方式有助于确保稳定性与兼容性,同时也为用户提供了更清晰的升级路径。对于企业用户和普通用户而言,这种节奏的把控有助于减少因功能变更带来的不确定性。
对于不希望强制员工使用PIN码的企业或组织,微软提供了明确的配置方案。管理员可以在WebAuthn设置中,将用户验证选项调整为“不建议”。这一设置允许企业在保障安全性的前提下,给予员工更多的灵活性,避免因强制使用PIN码带来的操作不便或抵触情绪。这种灵活的策略有助于提升员工对安全措施的接受度,同时也能更好地平衡用户体验与系统防护之间的关系。
这样设置后,即使用户使用的是具备验证功能的FIDO2密钥,系统在登录过程中也不会弹出窗口要求创建或输入PIN码,从而维持原有的无密码登录体验。
