Actualizarea recentă a sistemului de operare Windows 11 forțează introducerea unui PIN la utilizarea cheii de securitate FIDO2, chiar dacă anterior autentificarea funcționa fără această verificare suplimentară. Modificarea apare după instalarea pachetului KB5065789 din 29 septembrie 2025 și devine universală odată cu actualizarea de securitate KB5068861 lansată în noiembrie, afectând versiunile 24H2 și 25H2 ale Windows 11.

Prin această schimbare, Windows 11 respectă standardul internațional WebAuthn, care impune ca, atunci când un serviciu solicită „User Verification = Preferred”, utilizatorul să configureze sau să introducă un PIN dacă dispozitivul FIDO2 permite această caracteristică. Astfel, o cheie FIDO2 fără PIN va declanșa configurarea unui cod de acces în timpul autentificării.

Cum interpretează WebAuthn verificarea utilizatorului

  • Discouraged – nu se cere nicio verificare activă (PIN, biometrică).
  • Preferred – platforma poate solicita verificare dacă dispozitivul o suportă.
  • Required – verificarea este obligatorie indiferent de context.

Noua politică afectează situațiile în care serviciile aleg opțiunea „preferred”, iar Windows 11 solicită automat un PIN pentru cheia FIDO2. Dezvoltatorii pot evita această cerință setând nivelul „discouraged” în configurarea WebAuthn.

Un pas înainte pentru securitatea fără parole, dar un disconfort pentru utilizatori

FIDO2 a fost concepută pentru a elimina parolele tradiționale și riscurile asociate, cum ar fi phishingul și keyloggingul. Autentificarea bazată pe cheie fizică (USB, NFC sau Bluetooth) rămâne una dintre cele mai sigure metode disponibile.

Totuși, standardele de securitate cer dovezi că dispozitivul este folosit de persoana autorizată, iar acest lucru se realizează printr-un mecanism activ precum PIN-ul sau biometria. WebAuthn promovează verificarea activă pentru a consolida protecția împotriva atacurilor sofisticate.

Ce înseamnă această schimbare pentru utilizatorii obișnuiți și pentru organizații

  • Pentru utilizatorii individuali, instalarea unui PIN la cheia FIDO2 este rapidă și simplă; accesul continuă să fie la fel de fluid, dar cu un nivel suplimentar de protecție.
  • Pentru companii, decizia se reduce la alegerea între păstrarea nivelului „preferred”, acceptând configurarea PIN-urilor, sau trecerea la „discouraged” pentru a elimina verificarea suplimentară. Impactul depinde de politica de securitate internă și de infrastructura existentă.

Această actualizare aliniază Windows 11 la cerințele standardului WebAuthn, marcând un pas semnificativ în evoluția autentificării fără parolă. Monitorizarea continuă a evoluțiilor în domeniul securității cibernetice rămâne esențială pentru utilizatori și organizații.