Una cuenta Microsoft o MSA [1] (anteriormente conocida como Microsoft Passport , [2] .NET Passport y Windows Live ID ) es una cuenta de usuario personal de inicio de sesión único para que los clientes de Microsoft inicien sesión en servicios de consumo [3] [4] de Microsoft (como Outlook.com ), dispositivos que se ejecutan en uno de los sistemas operativos actuales de Microsoft (por ejemplo, computadoras y tabletas Microsoft Windows , consolas Xbox ) y software de aplicación de Microsoft (incluido Visual Studio ).
La cuenta Microsoft permite a los usuarios iniciar sesión en sitios web que admiten este servicio mediante un único conjunto de credenciales (estos nombres de usuario tienen el mismo formato que una dirección de correo electrónico ). La cuenta Microsoft ofrece al usuario dos métodos diferentes para crear una cuenta:
Los dominios @live.com y @passport.com, así como otros dominios ya no se ofrecen, pero las cuentas existentes se mantienen.
Los sitios web, servicios y aplicaciones de Microsoft, como Bing , MSN y Xbox Live, utilizan la cuenta Microsoft como medio para identificar a los usuarios. También hay otras empresas que la utilizan, como el sitio web Hoyts , alojado por NineMSN .
Windows XP y versiones posteriores tienen una opción para vincular una cuenta de usuario local de Windows con una cuenta de Microsoft, lo que permite que los usuarios inicien sesión automáticamente en su cuenta de Microsoft cada vez que se accede a un servicio. A partir de Windows 8 y Windows Server 2012 , Windows permite a los usuarios autenticarse directamente en sus PC utilizando su cuenta de Microsoft en lugar de un usuario local o de dominio. [5]
Además de usar una contraseña de cuenta, los usuarios pueden iniciar sesión en su cuenta de Microsoft aceptando una notificación móvil enviada a un dispositivo móvil con Microsoft Authenticator, un token de seguridad FIDO 2 o usando Windows Hello . [6] Los usuarios también pueden configurar la autenticación de dos factores obteniendo un código de un solo uso basado en el tiempo por mensaje de texto, llamada telefónica o usando una aplicación de autenticación.
Las credenciales de los usuarios no son verificadas por sitios web habilitados para cuentas Microsoft, sino por un servidor de autenticación de cuentas Microsoft. Un nuevo usuario que inicia sesión en un sitio web habilitado para cuentas Microsoft es redirigido primero al servidor de autenticación más cercano, que solicita el nombre de usuario y la contraseña a través de una conexión SSL . El usuario puede elegir que su computadora recuerde su nombre de usuario: un usuario recién iniciado sesión tiene una cookie encriptada de tiempo limitado almacenada en su computadora y recibe una etiqueta de identificación encriptada con triple DES que se acordó previamente entre el servidor de autenticación y el sitio web habilitado para cuentas Microsoft. Esta etiqueta de identificación se envía luego al sitio web, en el que el sitio web coloca otra cookie HTTP encriptada en la computadora del usuario, también de tiempo limitado. Mientras estas cookies sean válidas, el usuario no está obligado a proporcionar un nombre de usuario y una contraseña. Si el usuario cierra sesión activamente en su cuenta Microsoft, estas cookies se eliminarán.
Microsoft también ofrece una cuenta de trabajo o de escuela que configura un administrador como parte de una organización. Estas cuentas son independientes de las cuentas de Microsoft (que también se denominan cuentas personales ) y no se pueden fusionar, pero un usuario puede usarlas en paralelo. [7] [8] Una cuenta de trabajo o de escuela utiliza la plataforma de dominio de Azure Active Directory . [9]
Microsoft Passport, el predecesor de Windows Live ID, se posicionó originalmente como un servicio de inicio de sesión único para todo el comercio web. Microsoft Passport recibió muchas críticas. Un crítico destacado fue Kim Cameron , el autor de The Laws of Identity, [10] quien cuestionó a Microsoft Passport por sus violaciones de esas leyes. Luego se unió a Microsoft en 1999 después de que su empresa fuera adquirida y fue su arquitecto jefe de acceso e identidad hasta su jubilación en 2019, ayudando a abordar esas violaciones en el diseño del metasistema de identidad de Microsoft Account. Como consecuencia, Microsoft Accounts no se posiciona como el servicio de inicio de sesión único para todo el comercio web, sino como una opción entre muchas entre los sistemas de identidad.
En diciembre de 1999, Microsoft olvidó pagar su cuota anual de registro de dominio "passport.com" de 35 dólares a Network Solutions . El descuido hizo que Hotmail , que utilizaba el sitio para la autenticación, no estuviera disponible el 24 de diciembre. Un consultor de Linux , Michael Chaney, pagó el pago al día siguiente ( Navidad ), con la esperanza de que solucionara el problema con el sitio caído. El pago dio como resultado que el sitio estuviera disponible a la mañana siguiente. [11] En otoño de 2003, un buen samaritano similar ayudó a Microsoft cuando no pagaron la dirección "hotmail.co.uk", aunque no hubo tiempo de inactividad. [12]
En 2001, la abogada de la Electronic Frontier Foundation, Deborah Pierce, criticó a Microsoft Passport como una amenaza potencial a la privacidad después de que se revelara que Microsoft tendría acceso total a la información de los clientes y uso de la misma. [13] Microsoft actualizó rápidamente los términos de privacidad para disipar los temores de los clientes.
En julio y agosto de 2001, el Centro de Información sobre Privacidad Electrónica y una coalición de catorce importantes grupos de consumidores presentaron denuncias [14] ante la Comisión Federal de Comercio (FTC) alegando que el sistema Microsoft Passport violaba la Sección 5 de la Ley de la Comisión Federal de Comercio (FTCA) , que prohíbe las prácticas comerciales desleales o engañosas. [15] En agosto de 2002, Microsoft aceptó resolver los cargos resultantes de la FTC. Como parte del acuerdo, Microsoft debía implementar y mantener un programa de seguridad integral, además de tener prohibido tergiversar las prácticas de información. [16]
Microsoft había presionado a entidades no pertenecientes a Microsoft para que crearan un sistema de inicio de sesión unificado para todo Internet. [17] Ejemplos de sitios que usaban Microsoft Passport eran eBay y Monster.com , pero en 2004 esos acuerdos se cancelaron. [18] En agosto de 2009, Expedia envió un aviso indicando que ya no admitían Microsoft Passport/Windows Live ID.
En 2012, Windows Live ID pasó a llamarse cuenta Microsoft. [19] [20]
La cuenta Microsoft es el sitio web que permite a los usuarios administrar su identidad. Las características de una cuenta Microsoft incluyen:
La siguiente es una lista de programas de computadora y servicios web que admiten el uso de la cuenta Microsoft como credenciales necesarias para el proceso de autenticación.
El 15 de agosto de 2007, Microsoft lanzó el SDK de autenticación web de Windows Live ID, que permite a los desarrolladores web integrar Windows Live ID en sus sitios web que se ejecutan en una amplia gama de plataformas de servidor web, incluidos ASP.NET ( C# ), Java , Perl , PHP , Python y Ruby . [21] [22]
El 27 de octubre de 2008, Microsoft anunció públicamente su compromiso de respaldar el marco OpenID , y Windows Live ID se convirtió en un proveedor de OpenID. [23] Esto permitiría a los usuarios usar su Windows Live ID para iniciar sesión en cualquier sitio web que admita la autenticación OpenID. No había habido ninguna actualización sobre la implementación planificada de OpenID por parte de Microsoft desde agosto de 2009, [24] sin embargo, desde noviembre de 2013, Microsoft ha participado públicamente en las pruebas de interoperabilidad de OpenID Connect. [25] [26]
El 17 de junio de 2007, Erik Duindam, un desarrollador web de los Países Bajos, informó de un riesgo de privacidad e identidad, diciendo que "los programadores de Microsoft cometieron un error crítico que permite a todo el mundo crear un ID para prácticamente cualquier dirección de correo electrónico". [27] Se encontró un procedimiento que permitía a los usuarios registrar direcciones de correo electrónico no válidas o en uso. Al registrarse con una dirección de correo electrónico válida, se enviaba al usuario un enlace de verificación de correo electrónico. Sin embargo, antes de usarlo, se permitía al usuario cambiar la dirección de correo electrónico por una que no existía o por una dirección de correo electrónico que estuviera en uso por otra persona. El enlace de verificación hacía que el sistema Windows Live ID confirmara que la cuenta tenía una dirección de correo electrónico verificada. Ese fallo se solucionó dos días después, el 19 de junio de 2007. [28]
El 20 de abril de 2012, Microsoft solucionó un fallo en el sistema de restablecimiento de contraseñas de Hotmail que permitía a cualquier persona restablecer la contraseña de cualquier cuenta de Hotmail. Los investigadores de Vulnerability Lab notificaron a la empresa sobre el fallo el mismo día [29] y respondieron con una solución en cuestión de horas, pero no antes de que se produjeran ataques generalizados a medida que la técnica de explotación se extendía rápidamente por Internet. [30] [31]
El 3 de diciembre de 2015, un investigador de seguridad descubrió una vulnerabilidad en el software Adobe Experience Manager (AEM) utilizado en signout.live.com y la informó al Centro de Respuesta de Seguridad de Microsoft (MSRC). Esta vulnerabilidad permitió el acceso administrativo completo a la consola OSGi de los nodos de publicación de AEM y permitió ejecutar código dentro de la JVM mediante la carga de un paquete OSGi personalizado. Se confirmó que la vulnerabilidad se había resuelto el 3 de mayo de 2016. [32]
Otros servicios de identidad
Gestión de identidad
"Cuenta Microsoft" es el nuevo nombre de lo que solía llamarse "Windows Live ID".