Spoločnosť Microsoft potvrdila, že bezpečnostné kľúče FIDO2 v systéme Windows 11 môžu odteraz používateľov vyzvať, aby si počas overovania nastavili kód PIN po konkrétnych nedávnych aktualizáciách v súlade so štandardmi WebAuthn pre vylepšené overovanie používateľov.
Zmena sa začala 29. septembra 2025, predbežnou aktualizáciou KB5065789 pre zostavy OS 26200.6725 a 26100.6725, ktorá sa postupne zavádza do zariadení so systémom Windows 11.
Nasadenie bolo dokončené po 11. novembri 2025, aktualizácii zabezpečenia KB5068861 pre zostavy OS 26200.7171 a 26100.7171 alebo následných opravách.
Aktualizujte dátum vydania IDR ovplyvňované zostavy OSKB5065789 29. septembra, 202526200.6725, 26100.6725 KB5068861 11. novembra, 202526200.7171, 27100.
Ovplyvní to prihlásenia, pri ktorých spoliehajúca sa strana (RP) alebo poskytovateľ identity (IDP) požaduje overenie používateľa nastavené na „Preferované“ pre kľúče bez PIN.
Požiadavka presadzuje špecifikácie WebAuthn, kde overenie používateľa (UV) dokazuje prítomnosť používateľa prostredníctvom kódu PIN alebo biometrických údajov. Úrovne UV žiarenia zahŕňajú Odrádzané (nevyžaduje sa žiadny kód PIN), Preferované (ak je to možné s výzvou na nastavenie) a Povinné. Predtým sa PIN nastavoval iba počas registrácie; aktualizácie to rozširujú na toky autentifikácie kvôli konzistencii.
Kľúče FIDO2 umožňujú autentifikáciu bez hesla cez USB, NFC alebo Bluetooth, čím získavajú ochranu pred phishingom a krádežou poverení. Táto zmena prekvapuje používateľov s neregistrovanými kódmi PIN, pretože platformy teraz musia vyhovovať automatickej konfigurácii, keď je zadané „preferované“.
zmiernenia
RP alebo IDP sa môžu vyhnúť výzvam na zadanie kódu PIN nastavením „userVerification“ na „odrádzané“ v PublicKeyCredentialRequestOptions. Microsoft to zdôrazňuje ako úmyselný súlad, nie ako chybu. Používatelia by si mali po aktualizácii pozrieť Nastavenia > Účty > Možnosti prihlásenia > Bezpečnostný kľúč, aby mohli spravovať kódy PIN.
Podniky, ktoré sa spoliehajú na FIDO2 pre MFA, čelia prerušeniam pracovného toku, ak nie sú pripravené, najmä v nastaveniach bez hesla. Dodávatelia zabezpečenia ako Yubico zaznamenali podobné neočakávané výzvy v predchádzajúcich opravách.
Pri zlepšovaní dodržiavania štandardov si zmena vyžaduje kontroly konfigurácie na bezproblémové prijatie. Neexistuje žiadny návrat, ale „odrádzaný“ UV obnovuje predchádzajúce správanie.
Sledujte nás na Google News, LinkedIn a X a získajte denné aktualizácie kybernetickej bezpečnosti. Kontaktujte nás a predstavte svoje príbehy.
