Atualizações do Windows 11 implementaram comportamento que pode levar chaves FIDO2 a solicitar a configuração de PIN durante a autenticação quando o campo de User Verification estiver definido como "preferred".
O que mudou e cronologia
A mudança começou com a atualização preview de 29 de setembro de 2025 (KB5065789) para os OS Builds 26200.6725 e 26100.6725 e teve implantação concluída após o update de segurança de 11 de novembro de 2025 (KB5068861) para os OS Builds 26200.7171 e 26100.7171, ou patches subsequentes. A Microsoft confirmou que o comportamento resulta de alinhamento aos padrões WebAuthn para User Verification (UV).
Como o comportamento afeta fluxos de autenticação
O impacto ocorre em cenários onde um Relying Party (RP) ou Identity Provider (IDP) solicita userVerification definido como "preferred" para chaves que ainda não têm PIN configurado. Segundo a documentação, WebAuthn define níveis de User Verification: discouraged (não requer PIN), preferred (solicita verificação se a chave for capaz) e required (exige verificação). Com as atualizações, a verificação de usuário pode ser exigida no fluxo de autenticação, não apenas no registro, levando à solicitação de configuração de PIN por parte do sistema.
Mitigações e ajustes para administradores
Para evitar prompts inesperados, RPs/IDPs podem ajustar sua implementação de autenticação definindo userVerification como "discouraged" em PublicKeyCredentialRequestOptions. A Microsoft descreve esse comportamento como conformidade deliberada com o padrão WebAuthn, e não como um bug. Usuários também podem gerenciar chaves e PINs por meio de Settings > Accounts > Sign-in options > Security Key no Windows 11.
Impacto operacional
Organizações que adotaram FIDO2 para fluxos passwordless podem enfrentar interrupções de processo se não anteciparem o comportamento de solicitação de PIN em estações atualizadas. No texto disponível, observadores do mercado mencionam que fornecedores de chaves de segurança, como Yubico, notaram prompts inesperados em atualizações anteriores, sinalizando que administradores devem rever políticas de autenticação e fluxos de integração antes de aplicar atualizações em massa.
Limites das informações e próximos passos
As comunicações oficiais citam os KBs afetados (KB5065789 e KB5068861) e os builds do Windows 11 relacionados. Não há, nas descrições públicas consultadas, uma lista de impactos por modelo de chave FIDO2 ou estatísticas de dispositivos afetados. Também não há indicação de rollback por parte da Microsoft; a alternativa técnica apresentada é ajustar o parâmetro de userVerification no lado do RP/IDP para restaurar o comportamento anterior.
Recomendações práticas
- Revisar implementações de WebAuthn nos RPs/IDPs e considerar alterar userVerification para "discouraged" quando o fluxo deve permanecer sem PIN;
- Instruir equipes de identidade e SRE sobre as mudanças introduzidas pelos KB5065789 e KB5068861 e testar atualizações em ambientes de pré-produção antes de escalonar;
- Orientar usuários sobre o caminho para gerenciar chaves de segurança em Settings > Accounts > Sign-in options > Security Key caso surjam prompts de PIN após as atualizações;
- Monitorar comunicados de fabricantes de chaves (por exemplo, Yubico) e notas da Microsoft para eventuais esclarecimentos ou novas recomendações.
Em síntese, a alteração reforça a aderência às especificações WebAuthn ao custo potencial de fricção operacional em ambientes passwordless. Administradores de identidade devem revisar configurações e procedimentos de rollout para reduzir impacto ao usuário final.