Windows 11 cambia le regole: perché ora la tua chiavetta FIDO2 chiede un PIN

Con la pubblicazione di un documento di supporto ufficiale, a fine novembre 2025 Microsoft ha avvertito gli utenti che, a seguito degli aggiornamenti per Windows 11 rilasciati a partire da settembre 2025, l’uso delle chiavette di sicurezza FIDO2 potrebbe richiedere l’inserimento di un PIN durante il login. Il cambiamento interessa in particolare i dispositivi con Windows 11 24H2 e Windows 11 25H2, quando un provider di identità (IdP) richiede la verifica dell’utente durante l’autenticazione.

Il ruolo delle chiavi FIDO2 nella sicurezza moderna

Le chiavette FIDO2 offrono un’autenticazione senza password, richiedendo il possesso fisico del dispositivo e un collegamento tramite USB, NFC o Bluetooth (il produttore Yubico, ha spesso sottolineato come le chiavette Bluetooth non offrano un livello di sicurezza sufficiente).

L’introduzione obbligatoria del PIN, sebbene possa sembrare un ostacolo per alcuni utenti, migliora la sicurezza complessiva, rispettando gli standard internazionali e uniformando i flussi di autenticazione.

Perché ora è richiesto un PIN

Microsoft spiega che il nuovo comportamento di Windows 11, che richiede al PIN all’inserimento di una chiavetta FIDO2 (le migliori disponibili su Amazon Italia), non è un malfunzionamento, ma un adeguamento intenzionale alle specifiche WebAuthn, lo standard che definisce come i metodi di autenticazione, tra cui PIN, biometria e chiavi hardware, gestiscono le richieste di verifica dell’utente.

Il concetto chiave è la procedura di User Verification: si tratta di confermare che chi utilizza la chiave sia effettivamente autorizzato e presente, di solito tramite PIN o scansione biometrica.

Lo standard WebAuthn distingue tra tre livelli di verifica: discouraged (“sconsigliata”), preferred (“preferita”) e required (“richiesta”). Quando un servizio imposta la verifica su “preferred”, le piattaforme devono predisporre un PIN se l’autenticatore supporta la verifica dell’utente.

Microsoft ha introdotto questa funzione gradualmente: il supporto per il PIN con le chiavi FIDO2 è iniziato con la distribuzione dell’aggiornamento KB5065789 (preview di settembre 2025) e si è completato con l’aggiornamento di sicurezza KB5068861 di novembre 2025.

Impatto su utenti privati e aziende

Dopo aver installato gli aggiornamenti, Microsoft chiarisce che si potrebbe ricevere la richiesta di creare un PIN per accedere con una chiave di sicurezza, quindi anche se l’utilizzo del PIN non fosse stato impostato durante la registrazione iniziale. In altre parole, quando una Relying Party (RP) o un IdP richiede la verifica dell’utente con lo schema “preferred”, Windows 11 impone la creazione di un PIN se la chiave non ne avesse già uno associato.

Per le organizzazioni che vogliono evitare la richiesta di PIN, è possibile modificare la configurazione WebAuthn impostando la verifica dell’utente su “discouraged”. Microsoft sottolinea tuttavia che l’aggiunta del PIN nell’autenticazione garantisce coerenza tra flussi di registrazione e autenticazione.

Che cos’è un Identity Provider (IdP)

Un Identity Provider (IdP) è un servizio o un sistema che gestisce l’identità digitale di un utente e si occupa di autenticarlo quando accede a un’applicazione o a un servizio. L’IdP è la “fonte di verità” che conferma chi sei.

L’IdP verifica le credenziali dell’utente (password, biometria, chiave FIDO2, PIN); emette un token di autenticazione o una risposta firmata che conferma l’identità; fornisce informazioni aggiuntive sull’utente come email, ruolo, gruppo,…; può supportare protocolli come OAuth 2.0, OpenID Connect, SAML e WebAuthn/FIDO2. Esempi comuni di IdP sono Azure AD/Entra ID, Google Identity, Okta, Ping Identity, Keycloak.

Che cos’è un Relying Party (RP)

Una Relying Party (RP) è l’applicazione, il sito Web o il servizio che dipende dall’IdP per verificare l’identità dell’utente. Si chiama così perché si affida (relying) a un provider esterno per validare chi sta accedendo.

La RP richiede l’autenticazione all’IdP o alla chiave FIDO2; decide il livello di sicurezza necessario; utilizza il risultato dell’autenticazione per concedere o negare l’accesso.

Esempi di Relying Party sono un sito Web aziendale che utilizza un meccanismo di single sign-on (SSO) tramite Azure AD; una Web app che usa login con Google; un portale che supporta chiavi FIDO2 per l’accesso passwordless.