Cuenta de Microsoft

Se requiere una cuenta de usuario para los servicios propiedad de Microsoft

Logotipo de la cuenta de Microsoft

Una cuenta Microsoft o MSA ^[1] (anteriormente conocida como Microsoft Passport , ^[2] .NET Passport y Windows Live ID ) es una cuenta de usuario personal de inicio de sesión único para que los clientes de Microsoft inicien sesión en servicios de consumo ^{[3] [4]} de Microsoft (como Outlook.com ), dispositivos que se ejecutan en uno de los sistemas operativos actuales de Microsoft (por ejemplo, computadoras y tabletas Microsoft Windows , consolas Xbox ) y software de aplicación de Microsoft (incluido Visual Studio ).

Descripción general

La cuenta Microsoft permite a los usuarios iniciar sesión en sitios web que admiten este servicio mediante un único conjunto de credenciales (estos nombres de usuario tienen el mismo formato que una dirección de correo electrónico ). La cuenta Microsoft ofrece al usuario dos métodos diferentes para crear una cuenta:

1. Utilizar una dirección de correo electrónico existente: los usuarios pueden utilizar su propia dirección de correo electrónico válida para registrarse en una cuenta de Microsoft. El servicio convierte la dirección de correo electrónico del usuario solicitante en un ID de cuenta de Microsoft. Los usuarios también pueden elegir una contraseña de su elección.
2. Regístrese para obtener una dirección de correo electrónico de Microsoft: los usuarios también pueden registrarse para obtener una cuenta de correo electrónico gratuita a través de Outlook.com o MSN, con dominios designados de los servicios de correo web de Microsoft (es decir , @hotmail.com , @outlook.com , @msn.com ^[a] ) que pueden usarse como una cuenta Microsoft para iniciar sesión en otros sitios web habilitados para cuentas Microsoft.

Los dominios @live.com y @passport.com, así como otros dominios ya no se ofrecen, pero las cuentas existentes se mantienen.

Los sitios web, servicios y aplicaciones de Microsoft, como Bing , MSN y Xbox Live, utilizan la cuenta Microsoft como medio para identificar a los usuarios. También hay otras empresas que la utilizan, como el sitio web Hoyts , alojado por NineMSN .

Windows XP y versiones posteriores tienen una opción para vincular una cuenta de usuario local de Windows con una cuenta de Microsoft, lo que permite que los usuarios inicien sesión automáticamente en su cuenta de Microsoft cada vez que se accede a un servicio. A partir de Windows 8 y Windows Server 2012 , Windows permite a los usuarios autenticarse directamente en sus PC utilizando su cuenta de Microsoft en lugar de un usuario local o de dominio. ^[5]

Métodos de inicio de sesión

Además de usar una contraseña de cuenta, los usuarios pueden iniciar sesión en su cuenta de Microsoft aceptando una notificación móvil enviada a un dispositivo móvil con Microsoft Authenticator, un token de seguridad FIDO 2 o usando Windows Hello . ^[6] Los usuarios también pueden configurar la autenticación de dos factores obteniendo un código de un solo uso basado en el tiempo por mensaje de texto, llamada telefónica o usando una aplicación de autenticación.

Detalles técnicos

Las credenciales de los usuarios no son verificadas por sitios web habilitados para cuentas Microsoft, sino por un servidor de autenticación de cuentas Microsoft. Un nuevo usuario que inicia sesión en un sitio web habilitado para cuentas Microsoft es redirigido primero al servidor de autenticación más cercano, que solicita el nombre de usuario y la contraseña a través de una conexión SSL . El usuario puede elegir que su computadora recuerde su nombre de usuario: un usuario recién iniciado sesión tiene una cookie encriptada de tiempo limitado almacenada en su computadora y recibe una etiqueta de identificación encriptada con triple DES que se acordó previamente entre el servidor de autenticación y el sitio web habilitado para cuentas Microsoft. Esta etiqueta de identificación se envía luego al sitio web, en el que el sitio web coloca otra cookie HTTP encriptada en la computadora del usuario, también de tiempo limitado. Mientras estas cookies sean válidas, el usuario no está obligado a proporcionar un nombre de usuario y una contraseña. Si el usuario cierra sesión activamente en su cuenta Microsoft, estas cookies se eliminarán.

Relación con cuenta de trabajo o escuela

Microsoft también ofrece una cuenta de trabajo o de escuela que configura un administrador como parte de una organización. Estas cuentas son independientes de las cuentas de Microsoft (que también se denominan cuentas personales ) y no se pueden fusionar, pero un usuario puede usarlas en paralelo. ^{[7] [8]} Una cuenta de trabajo o de escuela utiliza la plataforma de dominio de Azure Active Directory . ^[9]

Historia

Microsoft Passport, el predecesor de Windows Live ID, se posicionó originalmente como un servicio de inicio de sesión único para todo el comercio web. Microsoft Passport recibió muchas críticas. Un crítico destacado fue Kim Cameron , el autor de The Laws of Identity, ^[10] quien cuestionó a Microsoft Passport por sus violaciones de esas leyes. Luego se unió a Microsoft en 1999 después de que su empresa fuera adquirida y fue su arquitecto jefe de acceso e identidad hasta su jubilación en 2019, ayudando a abordar esas violaciones en el diseño del metasistema de identidad de Microsoft Account. Como consecuencia, Microsoft Accounts no se posiciona como el servicio de inicio de sesión único para todo el comercio web, sino como una opción entre muchas entre los sistemas de identidad.

En diciembre de 1999, Microsoft olvidó pagar la tarifa anual de registro de dominio "passport.com" de 35 dólares a Network Solutions . El descuido hizo que Hotmail , que utilizaba el sitio para la autenticación, no estuviera disponible el 24 de diciembre. Un consultor de Linux , Michael Chaney, pagó el pago al día siguiente ( Navidad ), con la esperanza de que solucionara el problema con el sitio caído. El pago dio como resultado que el sitio estuviera disponible a la mañana siguiente. ^[11] En otoño de 2003, un buen samaritano similar ayudó a Microsoft cuando no pagaron la dirección "hotmail.co.uk", aunque no hubo tiempo de inactividad. ^[12]

En 2001, la abogada de la Electronic Frontier Foundation, Deborah Pierce, criticó a Microsoft Passport como una amenaza potencial a la privacidad después de que se revelara que Microsoft tendría acceso total a la información de los clientes y uso de la misma. ^[13] Microsoft actualizó rápidamente los términos de privacidad para disipar los temores de los clientes.

En julio y agosto de 2001, el Electronic Privacy Information Center y una coalición de catorce importantes grupos de consumidores presentaron denuncias ^[14] ante la Comisión Federal de Comercio (FTC) alegando que el sistema Microsoft Passport violaba la Sección 5 de la Ley de la Comisión Federal de Comercio (FTCA) , que prohíbe las prácticas comerciales desleales o engañosas. ^[15] En agosto de 2002, Microsoft aceptó resolver los cargos resultantes de la FTC. Como parte del acuerdo, Microsoft debía implementar y mantener un programa de seguridad integral, además de tener prohibido tergiversar las prácticas de información. ^[16]

Microsoft había presionado a entidades no pertenecientes a Microsoft para que crearan un sistema de inicio de sesión unificado para todo Internet. ^[17] Ejemplos de sitios que usaban Microsoft Passport eran eBay y Monster.com , pero en 2004 esos acuerdos se cancelaron. ^[18] En agosto de 2009, Expedia envió un aviso indicando que ya no admitían Microsoft Passport/Windows Live ID.

En 2012, Windows Live ID pasó a llamarse cuenta Microsoft. ^{[19] [20]}

Características

La cuenta Microsoft es el sitio web que permite a los usuarios administrar su identidad. Las características de una cuenta Microsoft incluyen:

• actualizar la información del usuario como nombre y apellido, dirección, etc. asociados a la cuenta;
• actualizar la configuración del usuario, como el idioma preferido o las preferencias para las comunicaciones por correo electrónico;
• cambiar o restablecer contraseñas de usuario;
• cerrar la cuenta;
• ver los detalles de facturación asociados a las cuentas.

Integrado con

La siguiente es una lista de programas de computadora y servicios web que admiten el uso de la cuenta Microsoft como credenciales necesarias para el proceso de autenticación.

• Windows 8 y posteriores
• Windows Server 2012 y versiones posteriores
• Componentes de Windows
  • Calendario
  • Cortana
  • Música Groove
  • Centro de comentarios
  • Correo
  • Películas y TV
  • Tienda de Microsoft
  • Outlook Express
  • Gente
  • Mensajero de Windows
• Windows Phone 7 y posterior
  • Tienda de Windows Phone
• Bing
• Intercambio en línea
• Protección de Exchange Online
• Microsoft Office
• Microsoft 365 (anteriormente Office 365)
• Oficina en línea
• OneDrive (anteriormente SkyDrive)
• Outlook.com (anteriormente Hotmail)
• Skype
• Asesor del centro del sistema
• Estudio visual
• Microsoft Azure (anteriormente Windows Azure)
• Programa Windows Insider
• Windows Live Messenger
• Creador de películas de Windows
• Galería de fotos de Windows
• Red Xbox

Autenticación web

El 15 de agosto de 2007, Microsoft lanzó el SDK de autenticación web de Windows Live ID, que permite a los desarrolladores web integrar Windows Live ID en sus sitios web que se ejecutan en una amplia gama de plataformas de servidor web, incluidos ASP.NET ( C# ), Java , Perl , PHP , Python y Ruby . ^{[21] [22]}

Compatibilidad con OpenID

El 27 de octubre de 2008, Microsoft anunció públicamente su compromiso de respaldar el marco OpenID , y Windows Live ID se convirtió en un proveedor de OpenID. ^[23] Esto permitiría a los usuarios usar su Windows Live ID para iniciar sesión en cualquier sitio web que admita la autenticación OpenID. No había habido ninguna actualización sobre la implementación planificada de OpenID por parte de Microsoft desde agosto de 2009, ^[24] sin embargo, desde noviembre de 2013, Microsoft ha participado públicamente en las pruebas de interoperabilidad de OpenID Connect. ^{[25] [26]}

Vulnerabilidades de seguridad

El 17 de junio de 2007, Erik Duindam, un desarrollador web de los Países Bajos, informó de un riesgo de privacidad e identidad, diciendo que "los programadores de Microsoft cometieron un error crítico que permite a todo el mundo crear un ID para prácticamente cualquier dirección de correo electrónico". ^[27] Se encontró un procedimiento que permitía a los usuarios registrar direcciones de correo electrónico no válidas o en uso. Al registrarse con una dirección de correo electrónico válida, se enviaba al usuario un enlace de verificación de correo electrónico. Sin embargo, antes de usarlo, se permitía al usuario cambiar la dirección de correo electrónico por una que no existía o por una dirección de correo electrónico que estuviera en uso por otra persona. El enlace de verificación hacía que el sistema Windows Live ID confirmara que la cuenta tenía una dirección de correo electrónico verificada. Ese fallo se solucionó dos días después, el 19 de junio de 2007. ^[28]

El 20 de abril de 2012, Microsoft solucionó un fallo en el sistema de restablecimiento de contraseñas de Hotmail que permitía a cualquier persona restablecer la contraseña de cualquier cuenta de Hotmail. Los investigadores de Vulnerability Lab notificaron el fallo a la empresa el mismo día ^[29] y respondieron con una solución en cuestión de horas, pero no antes de que se produjeran ataques generalizados a medida que la técnica de explotación se extendía rápidamente por Internet. ^{[30] [31]}

El 3 de diciembre de 2015, un investigador de seguridad descubrió una vulnerabilidad en el software Adobe Experience Manager (AEM) utilizado en signout.live.com y la informó al Centro de Respuesta de Seguridad de Microsoft (MSRC). Esta vulnerabilidad permitió el acceso administrativo completo a la consola OSGi de los nodos de publicación de AEM y permitió ejecutar código dentro de la JVM mediante la carga de un paquete OSGi personalizado. Se confirmó que la vulnerabilidad se había resuelto el 3 de mayo de 2016. ^[32]

Véase también

• Gestión de identidad
• Sistema de gestión de identidad
• Lista de implementaciones de inicio de sesión único

Otros servicios de identidad

• Servicios de federación de Active Directory
• Identificación abierta
• Identidad ligera
• Yadis
• Espacio de tarjeta de Windows

Gestión de identidad

• Alianza Libertad
• OASIS (organización)
• Hola de Windows

Referencias

1. "Próximos cambios en las compilaciones de Windows 10 Insider Preview [ACTUALIZADO EL 22/6]". Blog de Windows Experience . 19 de junio de 2015. Consultado el 17 de abril de 2016 .
2. Microsoft Passport: agilizando el comercio y la comunicación en la Web
3. "¿Cuál es la diferencia entre una cuenta personal de Microsoft y una cuenta de trabajo o de la escuela?". TECHCOMMUNITY.MICROSOFT.COM . Consultado el 4 de octubre de 2023 .
4. "¿Cuál es mi ID de usuario y por qué lo necesito para Office 365 para empresas? - Soporte técnico de Microsoft". support.microsoft.com . Consultado el 4 de octubre de 2023 .
5. "Windows 8: La revisión oficial". PCWorld . Consultado el 24 de noviembre de 2023 .
6. Warren, Tom (20 de noviembre de 2018). "Ahora puedes iniciar sesión en una cuenta Microsoft sin contraseña usando una clave de seguridad". The Verge . Vox Media . Consultado el 27 de noviembre de 2018 .
7. "Por qué necesita una cuenta Microsoft, una cuenta laboral o educativa con Microsoft 365 u Office - Soporte técnico de Microsoft". support.microsoft.com . Consultado el 24 de noviembre de 2023 .
8. "¿Qué cuenta desea utilizar? - Soporte técnico de Microsoft". support.microsoft.com . Consultado el 24 de noviembre de 2023 .
9. "¿Cuál es la diferencia entre una cuenta personal de Microsoft y una cuenta de trabajo o de la escuela?". TECHCOMMUNITY.MICROSOFT.COM . Consultado el 24 de noviembre de 2023 .
10. Cameron, Kim (mayo de 2005). "Las leyes de la identidad". Microsoft . Consultado el 9 de julio de 2018 .
11. Chaney, Michael (27 de enero de 2000). "El pago del pasaporte" . Consultado el 3 de noviembre de 2007 .
12. Richardson, Tim (6 de noviembre de 2003). «Microsoft se olvida de renovar hotmail». The Register . Consultado el 3 de noviembre de 2007 .
13. Se revisaron los términos de privacidad para Microsoft Passport
14. "Queja y solicitud de medida cautelar, solicitud de investigación y otras medidas cautelares" (PDF) . Centro de información sobre privacidad electrónica . 26 de julio de 2001.
15. EPIC: Expediente de investigación de Microsoft Passport, http://epic.org/privacy/consumer/microsoft/passport.html
16. "Microsoft resuelve cargos de la FTC que alegan falsas promesas de seguridad y privacidad". Comisión Federal de Comercio . 8 de agosto de 2002 . Consultado el 31 de mayo de 2024 .
17. Microsoft había presionado para que hubiera entidades que no fueran Microsoft
18. Microsoft Passport abandonado por eBay
19. Vista previa del consumidor de Windows 8: preguntas frecuentes
20. "¿Qué es una cuenta Microsoft?". Microsoft . Consultado el 2 de agosto de 2012 . "Cuenta Microsoft" es el nuevo nombre de lo que solía llamarse "Windows Live ID".
21. LiveSide.net: La autenticación web de Windows Live ID es definitiva Archivado el 23 de octubre de 2008 en Wayback Machine 16 de julio de 2007
22. Anuncio del blog del equipo de Live ID: Se lanzó el SDK de autenticación web de Windows Live ID para desarrolladores ^{[ enlace inactivo ]} 15 de julio de 2007
23. Windows Live ID se convierte en proveedor de OpenID
24. Actualización del estado de OpenID de Windows Live ID
25. "Microsoft participa públicamente en las pruebas de interoperabilidad de OpenID Connect".
26. "Documentación de Microsoft 365".
27. "Se ha producido una vulneración de la seguridad de Windows Live ID" en erikduindam.com
28. Una falla en Microsoft Windows Live abrió la puerta a los estafadores Archivado el 18 de mayo de 2008 en Wayback Machine .
29. "Microsoft MSN Hotmail: vulnerabilidad de restablecimiento y configuración de contraseña". Archivado desde el original el 6 de enero de 2019. Consultado el 28 de abril de 2012 .
30. Twitter / @msftsecresponse: El viernes abordamos un incidente con la función de restablecimiento para ayudar a proteger a los clientes de Hotmail, no es necesario hacer nada
31. Bright, Peter (27 de abril de 2012). «Microsoft corrige un importante fallo de día cero de Hotmail tras una explotación aparentemente generalizada». Ars Technica . Archivado desde el original el 6 de octubre de 2012. Consultado el 21 de octubre de 2012 .
32. "Ejecución remota de código (RCE) en 'signout.live.com' de Microsoft"

1. Las direcciones @msn.com solo se ofrecen a los clientes de MSN Dial-up y MSN Premium

Lectura adicional

• Crear una cuenta de Microsoft
• Introducción al documento técnico de Windows Live ID: proporciona una breve descripción general del servicio Windows Live ID en el contexto de la estrategia de identidad general de Microsoft.
• Documento técnico sobre la comprensión de la autenticación delegada de Windows Live: describe cómo un sitio web puede usar el sistema de autenticación delegada de Windows Live ID para obtener permiso para acceder a la información de los usuarios en los servicios de Windows Live.
• Documento técnico sobre federación de Windows Live ID: describe el concepto de federación de identidades y ofrece muchos detalles sobre cómo el servicio Windows Live ID lo admite.

Enlaces externos

• Sitio web oficial