Una cuenta de Microsoft o MSA [1] (anteriormente conocido como Microsoft Passport , [2] de .NET Passport , Microsoft Passport Network y Windows Live ID ) es un inicio de sesión único Microsoft cuenta de usuario de Microsoft a los clientes sesión de servicios de Microsoft ( como Outlook ), dispositivos que se ejecutan en uno de los sistemas operativos actuales de Microsoft (por ejemplo, computadoras y tabletas con Windows 10 , teléfonos con Windows y consolas Xbox ) y Microsoftsoftware de aplicación (incluido Visual Studio ).
Tipo de sitio | Inicio de sesión único |
---|---|
Dueño | Microsoft |
URL | cuenta |
Historia
Microsoft Passport, el predecesor de Windows Live ID, se posicionó originalmente como un servicio de inicio de sesión único para todo el comercio web. Microsoft Passport recibió muchas críticas. Un crítico destacado fue Kim Cameron , autor de Las leyes de la identidad, [3] que cuestionó a Microsoft Passport por sus violaciones de esas leyes. Desde entonces, se convirtió en el arquitecto jefe de identidad de Microsoft y ayudó a abordar esas violaciones en el diseño del meta-sistema de identidad de Windows Live ID. Como consecuencia, Windows Live ID no se posiciona como el servicio de inicio de sesión único para todo el comercio web, sino como una opción entre muchos sistemas de identidad.
En diciembre de 1999, Microsoft se negó a pagar su tarifa anual de registro de dominio "passport.com" de $ 35 a Network Solutions . El descuido hizo que Hotmail , que usaba el sitio para la autenticación, no estuviera disponible el 24 de diciembre. Un consultor de Linux , Michael Chaney, lo pagó al día siguiente ( Navidad ), esperando resolver este problema con el sitio caído. El pago dio como resultado que el sitio estuviera disponible a la mañana siguiente. [4] En otoño de 2003, un buen samaritano similar ayudó a Microsoft cuando no realizó el pago en la dirección "hotmail.co.uk", aunque no hubo tiempo de inactividad. [5]
En 2001, la abogada de planta de la Electronic Frontier Foundation , Deborah Pierce, criticó a Microsoft Passport como una amenaza potencial a la privacidad después de que se reveló que Microsoft tendría acceso completo y uso de la información del cliente. [6] Microsoft actualizó rápidamente los términos de privacidad para disipar los temores de los clientes.
En julio y agosto de 2001, el Centro de información sobre privacidad electrónica y una coalición de catorce grupos de consumidores líderes presentaron quejas [7] ante la Comisión Federal de Comercio (FTC) alegando que el sistema Microsoft Passport violaba la Sección 5 de la Ley de la Comisión Federal de Comercio (FTCA). , que prohíbe las prácticas comerciales desleales o engañosas. [8]
Microsoft había presionado para que las entidades ajenas a Microsoft crearan un sistema de inicio de sesión unificado en Internet. [9] Ejemplos de sitios que utilizaron Microsoft Passport fueron eBay y Monster.com , pero en 2004 esos acuerdos fueron cancelados. [10] En agosto de 2009, Expedia envió un aviso indicando que ya no son compatibles con Microsoft Passport / Windows Live ID.
En 2012, Windows Live ID pasó a llamarse Cuenta de Microsoft. [11] [12]
Descripción general
La cuenta de Microsoft permite a los usuarios iniciar sesión en sitios web que admiten este servicio utilizando un único conjunto de credenciales. Las credenciales de los usuarios no son verificadas por los sitios web habilitados para cuentas de Microsoft, sino por un servidor de autenticación de cuentas de Microsoft. Un nuevo usuario que inicia sesión en un sitio web habilitado para una cuenta de Microsoft primero se redirige al servidor de autenticación más cercano, que solicita el nombre de usuario y la contraseña a través de una conexión SSL . El usuario puede seleccionar que su computadora recuerde su inicio de sesión: un usuario que acaba de iniciar sesión tiene una cookie cifrada de tiempo limitado almacenada en su computadora y recibe una etiqueta de identificación cifrada con triple DES que se acordó previamente entre el servidor de autenticación y el Sitio web habilitado para cuentas de Microsoft. Esta etiqueta de identificación se envía luego al sitio web, en el que el sitio web coloca otra cookie HTTP encriptada en la computadora del usuario, también por tiempo limitado. Mientras estas cookies sean válidas, no se requiere que el usuario proporcione un nombre de usuario y contraseña. Si el usuario cierra sesión activamente en su cuenta de Microsoft, estas cookies se eliminarán.
La cuenta de Microsoft ofrece al usuario dos métodos diferentes para crear una cuenta:
- Usar una dirección de correo electrónico existente: los usuarios pueden usar su propia dirección de correo electrónico válida para registrarse en una cuenta de Microsoft. El servicio convierte la dirección de correo electrónico del usuario solicitante en una cuenta de Microsoft. Los usuarios también pueden elegir una contraseña de su elección.
- Regístrese para obtener una dirección de correo electrónico de Microsoft: los usuarios también pueden registrarse para obtener una cuenta de correo electrónico con los dominios designados de los servicios de correo web de Microsoft (es decir, @ hotmail.com, @ live.com, @ msn.com, @ passport.com y @ outlook.com o cualquier variante para un país específico) que se puede usar como una cuenta de Microsoft para iniciar sesión en otros sitios web habilitados para cuentas de Microsoft.
Los sitios web, los servicios y las aplicaciones de Microsoft, como Bing , MSN y Xbox Live, utilizan la cuenta de Microsoft como un medio para identificar a los usuarios. También hay varias otras empresas que lo utilizan, como el sitio web Hoyts, alojado por NineMSN .
Windows XP y versiones posteriores tienen la opción de vincular una cuenta de usuario de Windows con una cuenta de Microsoft, lo que permite que los usuarios inicien sesión automáticamente en su cuenta de Microsoft cada vez que se accede a un servicio. A partir de Windows Server 2012 , Windows permite a los usuarios autenticarse directamente en sus PC utilizando su cuenta de Microsoft en lugar de un usuario local o de dominio.
Perfil
Una característica del servicio de cuentas de Microsoft es el administrador de perfiles, llamado Perfil, que anteriormente formaba parte de Windows Live . Muestra información sobre el usuario en particular, sus actividades recientes y su relación con otros usuarios de Windows Live. También brinda la posibilidad de conectarse con otros a través de Skype y a través de redes sociales como Facebook , MySpace y LinkedIn .
Los usuarios pueden compartir parte de su información personal, como intereses y pasatiempos, e información social, como su cita favorita, ciudad natal o lugares en los que vivió anteriormente. El perfil también permite a los usuarios modificar su configuración de privacidad para decidir qué se comparte.
Autenticación web
El 15 de agosto de 2007, Microsoft lanzó el SDK de autenticación web de Windows Live ID, que permite a los desarrolladores web integrar Windows Live ID en sus sitios web que se ejecutan en una amplia gama de plataformas de servidores web, incluidos ASP.NET ( C # ), Java , Perl , PHP , Python y Ruby . [13] [14]
Soporte para OpenID
El 27 de octubre de 2008, Microsoft anunció que se comprometió públicamente a respaldar el marco OpenID , y que Windows Live ID se convirtió en un proveedor de OpenID. [15] Esto permitiría a los usuarios utilizar su Windows Live ID para iniciar sesión en cualquier sitio web que admita la autenticación OpenID. No se había actualizado la implementación de OpenID planeada por Microsoft desde agosto de 2009, [16] sin embargo, desde noviembre de 2013, Microsoft ha participado públicamente en las pruebas de interoperabilidad de OpenID Connect. [17] [18]
Métodos de inicio de sesión
Además de usar una contraseña de cuenta, los usuarios pueden iniciar sesión en su cuenta de Microsoft aceptando una notificación móvil enviada a un dispositivo móvil con Microsoft Authenticator , un token de seguridad FIDO 2 o usando Windows Hello . [19] Los usuarios también pueden configurar la autenticación de dos factores obteniendo un código de un solo uso basado en el tiempo por mensaje de texto, llamada telefónica o usando una aplicación de autenticación .
Características
La cuenta de Microsoft es el sitio web para que los usuarios administren su identidad. Las características de una cuenta de Microsoft incluyen:
- actualizar la información del usuario, como nombre y apellido, dirección, etc. asociados con la cuenta;
- actualizar la configuración del usuario, como el idioma preferido o las preferencias para las comunicaciones por correo electrónico;
- cambiar o restablecer las contraseñas de los usuarios;
- cerrar la cuenta;
- ver los detalles de facturación asociados con las cuentas.
Integrado con
La siguiente es una lista de programas informáticos y servicios web que admiten el uso de la cuenta de Microsoft como las credenciales necesarias para el proceso de autenticación.
- Windows 8 y posterior
- Windows Server 2012 y posterior
- Componentes de Windows
- Calendario
- Cortana
- Música Groove
- Centro de comentarios
- Correo
- Películas y TV
- Microsoft Store
- Outlook Express
- Personas
- Windows Messenger
- Windows Phone 7 y posterior
- Tienda Windows Phone
- Bing
- Exchange en línea
- Protección de Exchange Online
- Microsoft Office
- Oficina 365
- Oficina en línea
- OneDrive (anteriormente SkyDrive)
- Outlook.com (anteriormente Hotmail)
- Skype
- Asesor de System Center
- Estudio visual
- Microsoft Azure (anteriormente Windows Azure)
- Programa Windows Insider
- Windows Live Messenger
- creador de películas de Windows
- Galería de fotos de Windows
- Red Xbox
Vulnerabilidades de seguridad
El 17 de junio de 2007, Erik Duindam, un desarrollador web de los Países Bajos, informó sobre un riesgo de privacidad e identidad, diciendo que "los programadores de Microsoft cometieron un error crítico que permite a todos crear una identificación para prácticamente cualquier dirección de correo electrónico". [20] Se encontró un procedimiento para permitir a los usuarios registrar direcciones de correo electrónico no válidas o utilizadas actualmente. Al registrarse con una dirección de correo electrónico válida, se envió al usuario un enlace de verificación de correo electrónico. Sin embargo, antes de usarlo, se le permitió al usuario cambiar la dirección de correo electrónico por una que no existía, o por una dirección de correo electrónico utilizada actualmente por otra persona. El enlace de verificación hizo que el sistema de Windows Live ID confirmara que la cuenta tenía una dirección de correo electrónico verificada. Ese defecto se solucionó dos días después, el 19 de junio de 2007 [21].
El 20 de abril de 2012, Microsoft solucionó una falla en el sistema de restablecimiento de contraseña de Hotmail que permitía a cualquiera restablecer la contraseña de cualquier cuenta de Hotmail. Los investigadores de Vulnerability Lab notificaron a la compañía sobre la falla el mismo día [22] y respondió con una solución en cuestión de horas, pero no antes de ataques generalizados, ya que la técnica de explotación se extendió rápidamente por Internet. [23] [24]
El 3 de diciembre de 2015, un investigador de seguridad descubrió una vulnerabilidad en el software Adobe Experience Manager (AEM) utilizado en signout.live.com y lo informó al Centro de respuesta de seguridad de Microsoft (MSRC). Esta vulnerabilidad permitió el acceso administrativo completo a la consola OSGi de los nodos de AEM Publish y permitió ejecutar código dentro de la JVM mediante la carga de un paquete OSGi personalizado. Se confirmó que la vulnerabilidad se resolvió el 3 de mayo de 2016. [25]
Ver también
- Gestión de identidad
- Sistema de gestión de identidad
- Lista de implementaciones de inicio de sesión único
Otros servicios de identidad
- Servicios de federación de Active Directory
- OpenID
- Identidad ligera
- Yadis
- Windows CardSpace
Gestión de identidad
- Liberty Alliance
- OASIS (organización)
- Windows Hello
Referencias
- ^ "Próximos cambios en las compilaciones de Windows 10 Insider Preview [ACTUALIZADO 22/06]" . Blog de experiencia de Windows . Consultado el 17 de abril de 2016 .
- ^ Microsoft Passport: Optimización del comercio y la comunicación en la Web
- ^ Cameron, Kim (mayo de 2005). "Las leyes de la identidad" . Microsoft . Consultado el 9 de julio de 2018 .
- ^ Chaney, Michael (27 de enero de 2000). "El Pago del Pasaporte" . Consultado el 3 de noviembre de 2007 .
- ^ Richardson, Tim (6 de noviembre de 2003). "Microsoft se olvida de renovar hotmail" . El registro . Consultado el 3 de noviembre de 2007 .
- ^ Términos de privacidad revisados para Microsoft Passport
- ^ http://www.epic.org/privacy/consumer/MS_complaint.pdf
- ^ EPIC: Expediente de investigación de pasaportes de Microsoft, http://epic.org/privacy/consumer/microsoft/passport.html
- ^ Microsoft había presionado para entidades que no eran de Microsoft
- ^ Pasaporte de Microsoft abandonado por Ebay
- ^ Vista previa del consumidor de Windows 8 - Preguntas frecuentes
- ^ "¿Qué es una cuenta de Microsoft?" . Microsoft . Consultado el 2 de agosto de 2012 .
Cuenta de Microsoft "es el nuevo nombre de lo que solía llamarse" Windows Live ID.
- ^ LiveSide.net: Autenticación Web de Windows Live ID es final Archivado 2008-10-23 en la Wayback Machine 2007-07-16
- ^ Anuncio de blog del equipo Live ID: Lanzamiento del SDK de autenticación web de Windows Live ID para desarrolladores [ enlace muerto ] 2007-07-15
- ^ Windows Live ID se convierte en proveedor de OpenID
- ^ Actualización de estado de Windows Live ID OpenID
- ^ http://www.thread-safe.com/2013/11/microsoft-publicly-participates-in.html
- ^ https://msdn.microsoft.com/en-us/library/live/hh826544.aspx
- ^ Warren, Tom (20 de noviembre de 2018). "Ahora puede iniciar sesión en una cuenta de Microsoft sin una contraseña utilizando una clave de seguridad" . The Verge . Vox Media . Consultado el 27 de noviembre de 2018 .
- ^ "Seguridad de Windows Live ID violada" en erikduindam.com
- ^ Microsoft Windows Live Flaw abrió la puerta a los estafadores. Archivado el 18 de mayo de 2008 en Wayback Machine.
- ^ Microsoft MSN Hotmail - Vulnerabilidad de configuración y restablecimiento de contraseña
- ^ Twitter / @msftsecresponse: el viernes abordamos un incidente de función de reinicio para ayudar a proteger a los clientes de Hotmail, no es necesario realizar ninguna acción
- ^ Bright, Peter (27 de abril de 2012). "Microsoft parchea una falla importante de Hotmail 0-day después de una explotación aparentemente generalizada" . Ars Technica . Archivado desde el original el 21 de octubre de 2012 . Consultado el 21 de octubre de 2012 .
- ^ "Ejecución remota de código (RCE) en 'signout.live.com' de Microsoft"
Otras lecturas
- Crear una cuenta de Microsoft
- Introducción al documento técnico de Windows Live ID : proporciona una breve descripción general del servicio de Windows Live ID en el contexto de la estrategia de identidad general de Microsoft.
- Documento técnico Descripción de la autenticación delegada de Windows Live : describe cómo un sitio web puede usar el sistema de autenticación delegada de Windows Live ID para obtener permiso para acceder a la información de los usuarios en los servicios de Windows Live.
- Documento técnico de Windows Live ID Federation : describe el concepto de federación de identidades y ofrece detalles considerables sobre cómo lo admite el servicio Windows Live ID.
enlaces externos
- Página web oficial