【安全资讯】微软更新引发FIDO2安全密钥PIN验证要求变更

概要：

微软近期Windows更新对FIDO2安全密钥的认证流程进行了重要调整。这一变化旨在严格遵循WebAuthn标准规范，要求用户在特定场景下必须设置PIN码才能完成身份验证。作为替代传统密码的重要技术，FIDO2安全密钥的这项改进将进一步提升企业级用户防范网络钓鱼和凭证窃取的能力。

主要内容：

微软在11月26日发布公告称，安装2025年9月预览更新后的Windows 11 24H2/25H2设备，在使用FIDO2安全密钥认证时可能被要求输入PIN码。这一变更源于WebAuthn标准对用户验证级别的规范要求，当身份提供商将验证级别设置为“首选”时，系统必须要求未设置PIN的密钥创建PIN码。

技术实现上，该功能通过KB5065789预览更新开始逐步推送，并在11月的KB5068861安全更新中完成全面部署。其核心机制在于：当依赖方或身份提供商在认证过程中请求“首选用户验证”，且安全密钥未设置PIN时，系统将强制用户创建PIN以完成验证流程。

企业用户可通过调整WebAuthn配置中的用户验证设置为“不鼓励”来禁用PIN要求。微软强调此次更新旨在保持注册流程和认证流程的一致性，符合FIDO联盟制定的无密码认证标准。FIDO2技术通过要求物理持有USB、NFC或蓝牙令牌来实现身份验证，能有效防御网络钓鱼和凭证窃取攻击。