IT之家 11 月 28 日消息，微軟本周二（11 月 25 日）發(fā)布技術公告，確認用戶在安裝 2025 年 9 月預覽版及后續(xù)更新后，使用 FIDO2 安全密鑰登錄 Windows 11（24H2 或 25H2 版本）時可能會被強制要求輸入 PIN 碼。

IT之家援引博文介紹，用戶在使用 USB、NFC 或藍牙安全密鑰登錄 Windows 11（24H2 或 25H2）時，即便用戶此前從未設置過該選項，系統(tǒng)可能會提示并強制要求輸入 PIN 碼。

微軟強調，這一行為改變并非系統(tǒng)漏洞，而是為了嚴格遵守 WebAuthn 規(guī)范而做出的有意調整。WebAuthn 標準定義了 PIN 碼、生物識別和硬件密鑰在驗證用戶身份時的具體交互邏輯。

根據(jù)該標準，“用戶驗證”（User Verification）用于確認操作者是否為授權用戶本人且就在現(xiàn)場，該驗證機制在配置中可被設定為“不建議”（discouraged）、“首選”（preferred）或“必須”（required）。

當依賴方（Relying Party）或身份提供商（IDP）在驗證過程中將參數(shù)設置為“User Verification = Preferred”時，如果驗證器（如安全密鑰）支持此功能，系統(tǒng)便會強制要求用戶設置并使用 PIN 碼。

微軟指出，這一功能支持始于 2025 年 9 月 29 日發(fā)布的預覽更新 KB5065789，并隨著 11 月的安全更新 KB5068861 完成了全面部署。

對于不希望強制員工使用 PIN 碼的企業(yè)或組織，微軟提供了明確的配置方案。管理員可以在 WebAuthn 配置設置中，將用戶驗證選項調整為“不建議”。

這樣設置后，即使用戶使用的是支持驗證功能的 FIDO2 密鑰，系統(tǒng)也不會在登錄過程中強制彈窗要求創(chuàng)建或輸入 PIN 碼，從而保持原有的無密碼登錄體驗。