IT之家 11 月 28 日消息,微软本周二(11 月 25 日)发布技术公告,确认用户在安装 2025 年 9 月预览版及后续更新后,使用 FIDO2 安全密钥登录 Windows 11(24H2 或 25H2 版本)时可能会被强制要求输入 PIN 码。
IT之家援引博文介绍,用户在使用 USB、NFC 或蓝牙安全密钥登录 Windows 11(24H2 或 25H2)时,即便用户此前从未设置过该选项,系统可能会提示并强制要求输入 PIN 码。
微软强调,这一行为改变并非系统漏洞,而是为了严格遵守 WebAuthn 规范而做出的有意调整。WebAuthn 标准定义了 PIN 码、生物识别和硬件密钥在验证用户身份时的具体交互逻辑。
根据该标准,“用户验证”(User Verification)用于确认操作者是否为授权用户本人且就在现场,该验证机制在配置中可被设定为“不建议”(discouraged)、“首选”(preferred)或“必须”(required)。
当依赖方(Relying Party)或身份提供商(IDP)在验证过程中将参数设置为“User Verification = Preferred”时,如果验证器(如安全密钥)支持此功能,系统便会强制要求用户设置并使用 PIN 码。
微软指出,这一功能支持始于 2025 年 9 月 29 日发布的预览更新 KB5065789,并随着 11 月的安全更新 KB5068861 完成了全面部署。
对于不希望强制员工使用 PIN 码的企业或组织,微软提供了明确的配置方案。管理员可以在 WebAuthn 配置设置中,将用户验证选项调整为“不建议”。
这样设置后,即使用户使用的是支持验证功能的 FIDO2 密钥,系统也不会在登录过程中强制弹窗要求创建或输入 PIN 码,从而保持原有的无密码登录体验。
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
