Microsoft je u utorak upozorio korisnike da FIDO2 bezbjednosni ključevi mogu početi da traže unos PIN-a prilikom prijave nakon instaliranja Windows ažuriranja objavljenih od septembarskog preview update-a 2025.
Ovo ponašanje može se javiti na uređajima koji koriste Windows 11 verzije 24H2 ili 25H2 kada provajder identiteta zatraži verifikaciju korisnika tokom autentikacije.
Microsoft navodi da je ovo namjerna promjena kako bi se ispoštovale WebAuthn specifikacije, koje određuju način na koji metode autentikacije poput PIN-ova, biometrije i hardverskih bezbjednosnih ključeva treba da obrađuju zahtjeve za verifikaciju korisnika.
Verifikacija korisnika potvrđuje da je korisnik prisutan i ovlašćen da koristi bezbjednosni ključ, obično kroz PIN ili biometrijski sken. Prema WebAuthn standardu, verifikacija može biti „discouraged“, „preferred“ ili „required“. Kada je postavljena na „preferred“, standard zahtijeva da platforma postavi PIN ako autentikator podržava verifikaciju korisnika.
Podrška za ovu funkciju počela je postepeno da se uvodi na sve Windows 11 uređaje nakon KB5065789 preview ažuriranja, a implementacija je završena sa novembarskim KB5068861 ažuriranjem.
„Nakon instaliranja Windows ažuriranja, 29. septembar 2025 — KB5065789 (OS builds 26200.6725 i 26100.6725) Preview, ili kasnijih ažuriranja, možda ćete morati da kreirate PIN za prijavu pomoću bezbjednosnog ključa, čak i ako PIN ranije nije bio potreban niti podešen tokom inicijalne registracije“, naveo je Microsoft u dokumentu za podršku objavljenom u utorak.
„Ovo ponašanje će se desiti kada Relying Party (RP) ili Identity Provider (IDP) postave User Verification = Preferred tokom autentikacije sa FIDO2 bezbjednosnim ključem koji nema podešen PIN.“
Organizacije i servisi koji ne žele da korisnici kreiraju ili unose PIN pri korišćenju bezbjednosnih ključeva mogu postaviti verifikaciju korisnika na „discouraged“ u svojim WebAuthn konfiguracionim podešavanjima.
„Podrška za postavljanje PIN-a unutar toka autentikacije dodata je radi dosljednosti između procesa registracije i autentikacije“, dodaje Microsoft.
FIDO2 bezbjednosni ključevi obezbjeđuju passwordless autentikaciju tako što zahtijevaju fizičko posjedovanje USB, NFC ili Bluetooth tokena. Ova tehnologija bilježi sve veću primjenu kako organizacije traže alternative tradicionalnim lozinkama u cilju sprečavanja fišinga, krađe kredencijala i drugih napada zasnovanih na lozinkama.
Izvor: BleepingComputer