Microsoft heeft gebruikers gewaarschuwd dat FIDO2-beveiligingssleutels na recente Windows-updates mogelijk om een PIN-code zullen vragen tijdens het inloggen. De wijziging treedt op na installatie van updates die sinds de preview-update van september 2025 zijn uitgerold. Deze verandering geldt specifiek voor Windows 11-apparaten met versie 24H2 of 25H2, wanneer een identity provider om gebruikersverificatie vraagt tijdens het authenticatieproces.
Windows-updates
De PIN-prompt is geen fout, maar een bewuste aanpassing, zo benadrukt Microsoft. De wijziging zorgt ervoor dat Windows voldoet aan de WebAuthn-specificaties. Deze standaarden bepalen hoe authenticatiemethoden – zoals biometrie, PIN-codes en hardwarematige beveiligingssleutels – moeten omgaan met verificatieverzoeken.
Gebruikersverificatie bevestigt dat een persoon daadwerkelijk aanwezig en bevoegd is om een beveiligingssleutel te gebruiken. Dit kan worden afgedwongen via een PIN of een biometrische scan. Volgens WebAuthn kan verificatie worden ingesteld als ‘discouraged’, ‘preferred’ of ‘required’. Wanneer de optie ‘preferred’ wordt gebruikt en de beveiligingssleutel gebruikersverificatie ondersteunt, moet een PIN worden ingesteld.
Updates die de verandering activeren
Ondersteuning voor deze functionaliteit werd geleidelijk uitgerold, beginnend met de KB5065789-previewupdate van 29 september 2025. De volledige uitrol werd voltooid met de beveiligingsupdate KB5068861 van november. Daardoor kan het voorkomen dat gebruikers nu pas verplicht worden een PIN aan te maken voor beveiligingssleutels die eerder zonder PIN konden worden gebruikt.
Volgens Microsoft treedt het gedrag op wanneer een identiteitsprovider tijdens het inloggen met een FIDO2-sleutel gebruikersverificatie op ‘preferred’ heeft staan en de sleutel geen PIN heeft. Organisaties die niet willen dat gebruikers PIN’s moeten maken of invoeren, kunnen dit voorkomen door gebruikersverificatie op ‘discouraged’ te zetten in hun WebAuthn-configuratie.
Waarom dit belangrijk is
FIDO2-beveiligingssleutels worden steeds populairder als passwordless authenticatiemiddel. Door fysieke tokens via USB, NFC of Bluetooth te gebruiken, kunnen bedrijven phishing en gestolen wachtwoorden effectief tegengaan. De nieuwe PIN-prompt zorgt ervoor dat authenticatie consistent en veiliger wordt, maar kan organisaties noodzaken hun instellingen aan te passen om de gebruikerservaring gelijk te houden.
Microsoft benadrukt dat de verandering bedoeld is om registratie en inlogprocessen consistent te maken. Dit helpt volgens het bedrijf om passwordless beveiliging veiliger én betrouwbaarder te maken in een tijd waarin cybercriminaliteit blijft toenemen.