A mudança recente que envolve Microsoft e o fim do PIN FIDO2 no Windows 11 pegou muitos usuários de surpresa. Após instalar atualizações específicas do sistema, quem utiliza chaves de segurança FIDO2 passou a ver o Windows exigir um PIN antes de liberar o login, mesmo quando não havia necessidade disso anteriormente. Essa alteração gerou estranheza, especialmente entre quem adotou a autenticação sem senha buscando simplicidade e rapidez.]
Neste artigo, você entenderá o que realmente mudou, por que a Microsoft passou a solicitar o PIN em determinados cenários e como o padrão WebAuthn está diretamente ligado a essa nova exigência. O objetivo é fornecer clareza, autoridade e contexto sobre essa atualização, garantindo que você saiba exatamente como ela afeta a sua experiência no Windows 11.
Essa discussão é especialmente importante porque o ecossistema FIDO2 representa o futuro da autenticação sem senha. O Windows 11 desempenha um papel central nesse avanço, seja em ambientes domésticos, empresariais ou corporativos. Entender a mudança ajuda a manter segurança, compatibilidade e alinhamento com os padrões da indústria.
O que mudou e quando: A exigência do PIN no Windows 11
As recentes atualizações KB5065789 e KB5068861 introduziram mudanças no fluxo de autenticação com chaves de segurança FIDO2 no Windows 11. A nova exigência do PIN passou a ser observada principalmente nas versões 23H2, 24H2 e nas compilações de prévia que antecedem o ciclo 25H2.
Quando o usuário inseria uma chave FIDO2 anteriormente, em muitos casos era possível autenticar apenas com a presença física da chave. Porém, após essas atualizações, o Windows passou a exigir verificação adicional, normalmente o PIN da chave, sempre que o serviço ou o sistema solicitar uma autenticação que exija confirmação explícita da identidade do usuário.
Isso significa que, se a sua chave FIDO2 não possui biometria cadastrada (como impressão digital), o Windows automaticamente exigirá o uso de um PIN. Essa mudança não é um bug nem um comportamento opcional: ela é consequência direta das normas do padrão WebAuthn.
Por trás da mudança: Conformidade com o padrão WebAuthn
O elemento central dessa alteração é o alinhamento do Windows 11 com a especificação mais recente do WebAuthn, o padrão global para autenticação sem senha, usado pela Web e adotado pela FIDO Alliance.
Segundo o WebAuthn, sempre que um serviço solicita Verificação do Usuário (User Verification), o sistema operacional precisa garantir que a identidade da pessoa seja confirmada por um segundo fator associado à própria chave. Isso pode ser biometria ou PIN.
Com a adoção cada vez maior da autenticação sem senha, tornou-se essencial que o Windows garanta segurança e consistência em como a verificação é tratada em todos os dispositivos e cenários.
O papel de “user verification = preferred”
Um ponto importante dentro do WebAuthn é o parâmetro user verification = preferred. Ele indica que a verificação do usuário não é obrigatória em todos os serviços, mas é preferida e recomendada pela aplicação ou Provedor de Identidade (IDP).
Na prática, quando um serviço envia esse parâmetro para o Windows, o sistema entende que deve priorizar a verificação reforçada. Se a chave FIDO2 não tiver biometria habilitada, o Windows passa para a próxima opção de verificação: o PIN.
Por isso, após as atualizações, o Windows 11 passou a respeitar integralmente o comportamento recomendado pela especificação, fazendo com que mais cenários acionem a exigência do PIN de maneira automática. Essa mudança fortalece a segurança e reduz o risco de autenticação apenas por posse, sem confirmação da identidade do usuário.
FIDO2 e o valor da verificação do usuário
As chaves de segurança FIDO2 são projetadas para fornecer autenticação resistente a phishing, baseada em criptografia assimétrica. Elas são consideradas uma das formas mais seguras de acesso digital existentes.
A verificação do usuário adiciona uma camada extra ao modelo de segurança. Enquanto a chave representa o fator de posse, o PIN ou a biometria representam o fator de conhecimento ou inherência.
Esse modelo de dois fatores integrados à própria chave impede que alguém que roube o dispositivo consiga utilizá-lo sem autorização. Portanto, mesmo que exija um passo extra do usuário, o PIN fortalece significativamente a segurança do ecossistema.
No contexto do Windows 11, especialmente em ambientes corporativos, essa verificação adicional é essencial. Ela reduz ataques, melhora o compliance e reforça a adoção de autenticação verdadeiramente sem senha, de acordo com as diretrizes modernas de segurança.
Opções para organizações e serviços
Nem todas as organizações ou serviços desejam exigir verificação de usuário em todos os cenários. Por isso, o WebAuthn oferece opções de configuração baseadas nas necessidades de cada negócio.
Um Provedor de Identidade (IDP) ou aplicação autenticadora pode definir a verificação como “discouraged” (desencorajada). Quando isso acontece, o Windows 11 não exige PIN nem biometria para completar a autenticação com a chave FIDO2.
No entanto, essa decisão tem implicações: ela reduz a força da autenticação e pode não atender a padrões de conformidade de setores específicos, como financeiro ou governamental.
Por isso, organizações que pensam em ajustar essa configuração devem avaliar cuidadosamente o impacto na segurança, na experiência do usuário e nos requisitos de auditoria e proteção de dados. Na maioria dos cenários, manter a verificação habilitada continua sendo a opção mais segura e alinhada ao futuro da autenticação sem senha.
Conclusão: Segurança vs. conveniência
A exigência automática de PIN introduzida no FIDO2 não é apenas uma alteração de interface, mas uma evolução natural da autenticação moderna. A mudança aproxima o sistema operacional dos padrões internacionais do WebAuthn e fortalece o ecossistema geral de segurança.
Embora alguns usuários possam sentir que a conveniência diminuiu, a verdade é que a adoção de verificação do usuário protege suas contas contra ataques, engenharia social e uso indevido da chave. É uma medida que prioriza segurança, padronização e confiança no uso das chaves FIDO2.
Se você utiliza esse tipo de autenticação, a recomendação mais segura é configurar um PIN forte ou ativar biometria na sua chave FIDO2. Quanto mais pessoas adotarem métodos fortes de autenticação, mais rápido avançaremos para um futuro realmente sem senhas e resistente a ataques.
