Microsoftは火曜日、2025年9月のプレビュー更新以降にリリースされたWindowsアップデートをインストールした後、サインイン時にFIDO2セキュリティキーがPINの入力を求める場合があるとユーザーに警告しました。
この挙動は、認証時にIDプロバイダーがユーザー検証を要求した場合、Windows 11 バージョン 24H2 または 25H2 を実行しているデバイスで確認できます。
Microsoftによると、これはWebAuthn仕様に準拠するための意図的な変更であり、PIN、生体認証、ハードウェアセキュリティキーなどの認証方法がユーザー検証リクエストをどのように処理すべきかを定めています。
ユーザー検証は、ユーザーが実際にその場にいて、通常はPINまたは生体認証スキャンを通じてセキュリティキーを使用する権限があることを確認するものです。WebAuthn標準では、検証は「抑制(discouraged)」「優先(preferred)」「必須(required)」のいずれかに設定できます。「preferred」に設定されている場合、標準では、認証器がユーザー検証をサポートしているときに、プラットフォームがPINを設定することを要求しています。
この機能のサポートは、KB5065789 プレビュー更新プログラムの後、すべてのWindows 11デバイスに段階的に展開され始め、11月のKB5068861セキュリティ更新プログラムで展開が完了しました。
「Windows更新プログラム、2025年9月29日—KB5065789(OSビルド 26200.6725 および 26100.6725)プレビュー、またはそれ以降の更新プログラムをインストールした後、初回登録時にPINが不要または未設定であった場合でも、セキュリティキーでサインインするためにPINの作成を求められる場合があります」と、Microsoftは火曜日に公開したサポートドキュメントで述べています。
「この挙動は、PINが設定されていない Fast IDentity Online 2(FIDO2)セキュリティキーでの認証時に、Relying Party(RP)または Identity Provider(IDP)がUser Verification = Preferred を要求した場合に発生します。」
セキュリティキーに対してユーザーにPINの作成や入力をさせたくない組織やサービスは、WebAuthn構成設定でユーザー検証を「discouraged(抑制)」に設定できます。
「認証フローにおけるPIN設定のサポートは、登録フローと認証フローの両方で一貫性を持たせるために追加されました」とMicrosoftは付け加えました。
FIDO2セキュリティキーは、USB、NFC、またはBluetoothトークンを物理的に所持していることを要求することで、パスワード不要の認証を提供します。この技術は、フィッシング、認証情報の窃取、その他のパスワードベースの攻撃を防ぐために、組織が従来のパスワードに代わる手段を模索する中で、ますます採用が進んでいます。
