Windows-update dwingt mogelijk PIN-code af voor FIDO2-beveiligingssleutels

Het gaat om een wijziging in hoe Windows omgaat met FIDO2-sleutels. Na de installatie van de preview-update van 29 september (KB5065789) of de beveiligingsupdate van 11 november (KB5068861) voor Windows 11, kan het besturingssysteem eisen dat er een pincode wordt ingesteld voor de sleutel. Dit kan ook gebeuren als er tijdens de initiële registratie van de sleutel geen pincode vereist of ingesteld was.

Naleving WebAuthn-specificaties 

Volgens Microsoft is de wijziging "bedoeld gedrag" om volledig te voldoen aan de WebAuthn-specificaties. De pop-up verschijnt wanneer een dienst of applicatie (de zogeheten Relying Party) tijdens het inlogproces aangeeft dat gebruikersverificatie de voorkeur heeft. In technische termen gaat het om de parameter User Verification = Preferred.

Voorheen werd deze voorkeur door Windows mogelijk genegeerd als er nog geen pincode op de sleutel stond. Met de nieuwe updates geldt: als een dienst aangeeft dat verificatie de voorkeur heeft en de hardware (de sleutel) dit ondersteunt, moet het platform (Windows) de gebruiker dwingen dit in te stellen.

Gevolgen voor beheerders 

De uitrol van deze functie is inmiddels voltooid voor Windows 11-systemen met de laatste updates.

Voor ontwikkelaars en IT-beheerders die niet willen dat hun gebruikers verplicht worden een pincode te gebruiken, geeft Microsoft een duidelijk advies. Zij moeten de userVerification-instelling in hun applicaties of diensten expliciet op discouraged (afgeraden) zetten. Alleen dan zal Windows de vraag om een pincode achterwege laten, tenzij de configuratie van de sleutel zelf dit alsnog dwingend voorschrijft.