Nach dem Update KB5065789 werden Sicherheitsschlüssel möglicherweise zur Eingabe einer PIN aufgefordert, bestätigt Microsoft

/de/images/Microsoft-logo.png

Microsoft hat die Funktionsweise von FIDO2-Sicherheitsschlüsseln unter Windows 11 nach dem Vorschau-Update (KB5065789) vom 29. September 2025 und nachfolgenden Updates aktualisiert. Möglicherweise werden Sie jetzt aufgefordert, eine PIN zu erstellen, wenn Sie sich mit einem Sicherheitsschlüssel anmelden. Dies gilt auch dann, wenn keine PIN erforderlich oder zuvor festgelegt wurde.

Laut Microsoft kann dies passieren, wenn eine Relying Party (RP) oder ein Identity Provider (IDP) während der Authentifizierung „User Verification=Preferred“ anfordert. Vereinfacht ausgedrückt fordert Windows jetzt zur Eingabe einer PIN auf, wenn der Sicherheitsschlüssel noch keine hat, und stellt so die Einhaltung der WebAuthn-Spezifikationen sicher.

Das Unternehmen hat bestätigt, dass der Rollout mit dem Vorschau-Update vom September begonnen hat und nach dem Sicherheitsupdate vom 11. November 2025 (KB5068861) abgeschlossen wurde. Die Updates standardisieren den Prozess und ermöglichen es Ihnen, bei der Authentifizierung eine PIN festzulegen, sofern bei der Registrierung keine PIN erstellt wurde.

Nicht zu vergessen: Microsoft hat auch etwas Licht auf die Benutzerverifizierung (UV) geworfen, die bestätigt, dass die Person, die den Sicherheitsschlüssel verwendet, autorisiert ist. Beachten Sie, dass die Verifizierung auf „Nicht empfohlen“, „Bevorzugt“ oder „Erforderlich“ eingestellt werden kann. Hinweise von Microsoft:

„Benutzerüberprüfung=Bevorzugt“ bedeutet, dass der RP eine Benutzerüberprüfung wünscht, wenn der Authentifikator dazu in der Lage ist. Das heißt, wenn eine PIN eingerichtet werden muss, sollte die Plattform dies tun.

„User Verification=Discouraged“ bedeutet, dass der RP keine Benutzerverifizierung wünscht. Wenn keine PIN eingerichtet wurde, ist dies nicht erforderlich (es sei denn, die Authentifizierungskonfiguration erfordert dies).

Unterstützung für die PIN-Einrichtung im Authentifizierungsablauf wurde hinzugefügt, um sowohl bei der Registrierung als auch bei der Authentifizierung konsistent zu sein.

Darüber hinaus sollten Organisationen, die nicht möchten, dass Benutzer eine PIN erstellen oder eingeben, sicherstellen, dass „userVerification“ in „PublicKeyCredentialRequestOptions“ auf „Discouraged“ gesetzt ist.

über: Bleeping Computer

*️⃣ Quelllink:

wurde aktualisiert, KB5065789, KB5068861, Bleeping Computer,