Una cuenta de Microsoft o MSA [1] (anteriormente conocida como Microsoft Passport , [2] .NET Passport y Windows Live ID ) es una cuenta de usuario personal de inicio de sesión único para que los clientes de Microsoft inicien sesión en el consumidor [3] [4] Servicios de Microsoft (como Outlook.com ), dispositivos que se ejecutan en uno de los sistemas operativos actuales de Microsoft (por ejemplo, computadoras y tabletas con Microsoft Windows , consolas Xbox ) y software de aplicaciones de Microsoft (incluido Visual Studio ).
La cuenta de Microsoft permite a los usuarios iniciar sesión en sitios web que admiten este servicio utilizando un único conjunto de credenciales; estos nombres de usuario tienen el mismo formato que una dirección de correo electrónico . La cuenta de Microsoft ofrece al usuario dos métodos diferentes para crear una cuenta:
Los dominios @live.com y @passport.com están descontinuados pero se mantienen.
Los sitios web, servicios y aplicaciones de Microsoft, como Bing , MSN y Xbox Live, utilizan la cuenta de Microsoft como medio para identificar a los usuarios. También hay otras empresas que lo utilizan, como el sitio web Hoyts alojado en NineMSN .
Windows XP y versiones posteriores tienen la opción de vincular una cuenta de usuario local de Windows con una cuenta de Microsoft, de modo que los usuarios inicien sesión automáticamente en su cuenta de Microsoft cada vez que accedan a un servicio. A partir de Windows 8 y Windows Server 2012 , Windows permite a los usuarios autenticarse directamente en sus PC utilizando su cuenta de Microsoft en lugar de un usuario local o de dominio. [5]
Además de usar una contraseña de cuenta, los usuarios pueden iniciar sesión en su cuenta de Microsoft aceptando una notificación móvil enviada a un dispositivo móvil con Microsoft Authenticator, un token de seguridad FIDO 2 o usando Windows Hello . [6] Los usuarios también pueden configurar la autenticación de dos factores obteniendo un código de un solo uso basado en el tiempo mediante mensaje de texto, llamada telefónica o usando una aplicación de autenticación.
Las credenciales de los usuarios no las verifican los sitios web habilitados para cuentas de Microsoft, sino un servidor de autenticación de cuentas de Microsoft. Un nuevo usuario que inicia sesión en un sitio web habilitado para una cuenta de Microsoft primero es redirigido al servidor de autenticación más cercano, que solicita el nombre de usuario y la contraseña a través de una conexión SSL . El usuario puede seleccionar que su computadora recuerde su inicio de sesión: un usuario que acaba de iniciar sesión tiene una cookie cifrada de tiempo limitado almacenada en su computadora y recibe una etiqueta de identificación cifrada DES triple que se acordó previamente entre el servidor de autenticación y el Sitio web habilitado para cuentas de Microsoft. Esta etiqueta de identificación se envía luego al sitio web, donde el sitio web coloca otra cookie HTTP cifrada en la computadora del usuario, también por tiempo limitado. Mientras estas cookies sean válidas, no se requiere que el usuario proporcione un nombre de usuario y contraseña. Si el usuario cierra sesión activamente en su cuenta de Microsoft, estas cookies se eliminarán.
Microsoft también ofrece una cuenta profesional o educativa que configura un administrador como parte de una organización. Estas cuentas están separadas de las cuentas de Microsoft (que también se denominan cuentas personales ) y no se pueden fusionar, pero un usuario puede usarlas una al lado de la otra. [7] [8] Una cuenta profesional o educativa utiliza la plataforma de dominio Azure Active Directory . [9]
Microsoft Passport, el predecesor de Windows Live ID, se posicionó originalmente como un servicio de inicio de sesión único para todo el comercio web. Microsoft Passport recibió muchas críticas. Un crítico destacado fue Kim Cameron , autor de Las leyes de la identidad, [10] quien cuestionó a Microsoft Passport por sus violaciones de esas leyes. Luego se unió a Microsoft en 1999 después de que su empresa fuera adquirida y fue su principal arquitecto de acceso e identidad hasta su jubilación en 2019, ayudando a abordar esas violaciones en el diseño del metasistema de identidad de la cuenta de Microsoft. Como consecuencia, las cuentas de Microsoft no se posicionan como el servicio de inicio de sesión único para todo el comercio web, sino como una opción entre muchas entre los sistemas de identidad.
En diciembre de 1999, Microsoft no pagó su cuota anual de registro del dominio "passport.com" de 35 dólares a Network Solutions . El descuido hizo que Hotmail , que utilizaba el sitio para autenticación, no estuviera disponible el 24 de diciembre. Un consultor de Linux , Michael Chaney, pagó al día siguiente ( Navidad ), con la esperanza de que solucionaría este problema con el sitio caído. El pago dio como resultado que el sitio estuviera disponible a la mañana siguiente. [11] En otoño de 2003, un buen samaritano similar ayudó a Microsoft cuando no realizaron el pago en la dirección "hotmail.co.uk", aunque no se produjo ningún tiempo de inactividad. [12]
En 2001, la abogada de la Electronic Frontier Foundation, Deborah Pierce, criticó a Microsoft Passport como una amenaza potencial a la privacidad después de que se reveló que Microsoft tendría pleno acceso y uso de la información de los clientes. [13] Microsoft actualizó rápidamente los términos de privacidad para disipar los temores de los clientes.
En julio y agosto de 2001, el Centro de Información sobre Privacidad Electrónica y una coalición de catorce importantes grupos de consumidores presentaron quejas [14] ante la Comisión Federal de Comercio (FTC) alegando que el sistema Microsoft Passport violaba la Sección 5 de la Ley de la Comisión Federal de Comercio (FTCA). , que prohíbe prácticas comerciales desleales o engañosas. [15]
Microsoft había presionado para que entidades ajenas a Microsoft crearan un sistema de inicio de sesión unificado en todo Internet. [16] Ejemplos de sitios que utilizaron Microsoft Passport fueron eBay y Monster.com , pero en 2004 esos acuerdos fueron cancelados. [17] En agosto de 2009, Expedia envió un aviso indicando que ya no son compatibles con Microsoft Passport/Windows Live ID.
En 2012, Windows Live ID pasó a llamarse cuenta de Microsoft. [18] [19]
La cuenta de Microsoft es el sitio web para que los usuarios administren su identidad. Las características de una cuenta de Microsoft incluyen:
La siguiente es una lista de programas informáticos y servicios web que admiten el uso de la cuenta Microsoft como credenciales necesarias para el proceso de autenticación.
El 15 de agosto de 2007, Microsoft lanzó el SDK de autenticación web de Windows Live ID, que permite a los desarrolladores web integrar Windows Live ID en sus sitios web que se ejecutan en una amplia gama de plataformas de servidores web, incluidas ASP.NET ( C# ), Java , Perl , PHP. , Python y Rubí . [20] [21]
El 27 de octubre de 2008, Microsoft anunció que se comprometía públicamente a respaldar el marco OpenID , y Windows Live ID se convirtió en proveedor de OpenID. [22] Esto permitiría a los usuarios utilizar su Windows Live ID para iniciar sesión en cualquier sitio web que admita la autenticación OpenID. No ha habido ninguna actualización sobre la implementación planificada de OpenID por parte de Microsoft desde agosto de 2009, [23] sin embargo, desde noviembre de 2013, Microsoft ha participado públicamente en las pruebas de interoperabilidad de OpenID Connect. [24] [25]
El 17 de junio de 2007, Erik Duindam, un desarrollador web de los Países Bajos, informó sobre un riesgo de privacidad e identidad, diciendo que "los programadores de Microsoft cometieron un error crítico que permite a todos crear una identificación para prácticamente cualquier dirección de correo electrónico". [26] Se encontró un procedimiento para permitir a los usuarios registrar direcciones de correo electrónico no válidas o actualmente utilizadas. Al registrarse con una dirección de correo electrónico válida, se envió al usuario un enlace de verificación por correo electrónico. Sin embargo, antes de usarlo, al usuario se le permitía cambiar la dirección de correo electrónico a una que no existía, o a una dirección de correo electrónico actualmente utilizada por otra persona. El enlace de verificación hizo que el sistema Windows Live ID confirmara que la cuenta tenía una dirección de correo electrónico verificada. Ese defecto se solucionó dos días después, el 19 de junio de 2007. [27]
El 20 de abril de 2012, Microsoft solucionó una falla en el sistema de restablecimiento de contraseña de Hotmail que permitía a cualquiera restablecer la contraseña de cualquier cuenta de Hotmail. Los investigadores de Vulnerability Lab notificaron a la compañía sobre la falla el mismo día [28] y respondió con una solución en cuestión de horas, pero no antes de ataques generalizados a medida que la técnica de explotación se extendía rápidamente por Internet. [29] [30]
El 3 de diciembre de 2015, un investigador de seguridad descubrió una vulnerabilidad en el software Adobe Experience Manager (AEM) utilizado en signout.live.com y lo informó al Centro de respuesta de seguridad de Microsoft (MSRC). Esta vulnerabilidad permitió el acceso administrativo completo a la consola OSGi de los nodos de AEM Publish e hizo posible ejecutar código dentro de la JVM mediante la carga de un paquete OSGi personalizado. Se confirmó que la vulnerabilidad se resolvió el 3 de mayo de 2016. [31]
Otros servicios de identidad
Gestión de identidad
Cuenta de Microsoft" es el nuevo nombre de lo que solía llamarse "Windows Live ID".