IT 之家 11 月 28 日消息，微软本周二（11 月 25 日）发布技术公告，确认用户在安装 2025 年 9 月预览版及后续更新后，使用 FIDO2 安全密钥登录 Windows 11（24H2 或 25H2 版本）时可能会被强制要求输入 PIN 码。

IT 之家援引博文介绍，用户在使用 USB、NFC 或蓝牙安全密钥登录 Windows 11（24H2 或 25H2）时，即便用户此前从未设置过该选项，系统可能会提示并强制要求输入 PIN 码。

微软强调，这一行为改变并非系统漏洞，而是为了严格遵守 WebAuthn 规范而做出的有意调整。WebAuthn 标准定义了 PIN 码、生物识别和硬件密钥在验证用户身份时的具体交互逻辑。

根据该标准，" 用户验证 "（User Verification）用于确认操作者是否为授权用户本人且就在现场，该验证机制在配置中可被设定为 " 不建议 "（discouraged）、" 首选 "（preferred）或 " 必须 "（required）。

当依赖方（Relying Party）或身份提供商（IDP）在验证过程中将参数设置为 "User Verification = Preferred" 时，如果验证器（如安全密钥）支持此功能，系统便会强制要求用户设置并使用 PIN 码。

微软指出，这一功能支持始于 2025 年 9 月 29 日发布的预览更新 KB5065789，并随着 11 月的安全更新 KB5068861 完成了全面部署。

对于不希望强制员工使用 PIN 码的企业或组织，微软提供了明确的配置方案。管理员可以在 WebAuthn 配置设置中，将用户验证选项调整为 " 不建议 "。

这样设置后，即使用户使用的是支持验证功能的 FIDO2 密钥，系统也不会在登录过程中强制弹窗要求创建或输入 PIN 码，从而保持原有的无密码登录体验。