Учетная запись Microsoft - Microsoft account

«Microsoft Passport» перенаправляется сюда. Для одноименной функции безопасности Windows 10 см. Windows 10 § Системная безопасность.
Учетная запись Microsoft
Microsoft Account.svg
Вход в учетную запись Microsoft.png
Пример страницы входа в учетную запись Microsoft
Тип сайта
Единая точка входа
ВладелецMicrosoft
URLучетная запись.microsoft.com

А Учетная запись Microsoft или же MSA[1] (ранее известный как Паспорт Microsoft,[2] .NET паспорт, Сеть Microsoft Passport, и Windows Live ID) это Единая точка входа Microsoft учетная запись пользователя за Microsoft клиентов для входа в службы Microsoft. (подобно Outlook ), устройства, работающие на одном из текущих операционные системы (например. Windows 10 компьютеры и планшеты, Телефоны Windows, и Xbox консоли) и Microsoft программное обеспечение (включая Visual Studio ).

История

Microsoft Passport, предшественник Windows Live ID, изначально позиционировался как Единая точка входа сервис для всей веб-коммерции. Microsoft Passport получил много критики. Известный критик был Ким Кэмерон, автор Законы идентичности,[3] кто подверг сомнению Microsoft Passport в нарушении этих законов. С тех пор он стал главным архитектором идентификации Microsoft и помог устранить эти нарушения при разработке мета-системы идентификации Windows Live ID. Как следствие, Windows Live ID позиционируется не как служба единого входа для всей веб-коммерции, а как одна из многих систем идентификации.

В декабре 1999 года Microsoft не уплатила ежегодный сбор за регистрацию домена "Passport.com" в размере 35 долларов США. Сетевые решения. Сделанный надзор Hotmail, который использовал сайт для аутентификации, недоступен 24 декабря. Linux консультант Майкл Чейни заплатил его на следующий день (Рождество ) в надежде, что это решит проблему с отключенным сайтом. После оплаты сайт стал доступен на следующее утро.[4] Осенью 2003 г. Добрый самаритянин помогли Microsoft, когда они пропустили оплату на адрес hotmail.co.uk, хотя простоя не произошло.[5]

В 2001 г. Фонд электронных рубежей Юрист Дебора Пирс раскритиковала Microsoft Passport как потенциальную угрозу конфиденциальности после того, как стало известно, что Microsoft будет иметь полный доступ к информации о клиентах и ​​ее использование.[6] Microsoft быстро обновила условия конфиденциальности, чтобы развеять опасения клиентов.

В июле и августе 2001 г. Электронный информационный центр конфиденциальности и коалиция из четырнадцати ведущих групп потребителей подали жалобы[7] с Федеральная торговая комиссия (FTC) утверждая, что система Microsoft Passport нарушает Раздел 5 Закон о Федеральной торговой комиссии (FTCA), который запрещает недобросовестную или обманчивую практику в торговле.[8]

Microsoft настаивала на том, чтобы организации, не принадлежащие Microsoft, создали единую систему входа в Интернет.[9] Примеры сайтов, которые использовали Microsoft Passport: eBay и Monster.com, но в 2004 году эти соглашения были расторгнуты.[10] В августе 2009 года Expedia разослала уведомление о том, что они больше не поддерживают Microsoft Passport / Windows Live ID.

В 2012 году Windows Live ID была переименована в учетную запись Microsoft.[11][12]

Обзор

Учетная запись Microsoft позволяет пользователям входить на веб-сайты, поддерживающие эту службу, с помощью единого набора учетных данных. Учетные данные пользователей проверяются не веб-сайтами с включенной учетной записью Microsoft, а сервером аутентификации учетной записи Microsoft. Новый пользователь, входящий на веб-сайт с поддержкой учетной записи Microsoft, сначала перенаправляется на ближайший сервер аутентификации, который запрашивает имя пользователя и пароль через SSL связь. Пользователь может выбрать, чтобы его компьютер запомнил их логин: новый вошедший пользователь имеет зашифрованный ограниченный по времени файл cookie, хранящийся на его компьютере, и получает тройной DES зашифрованный ID-тег, который ранее был согласован между сервером аутентификации и веб-сайтом с включенной учетной записью Microsoft. Затем этот ID-тег отправляется на веб-сайт, после чего веб-сайт устанавливает еще один зашифрованный HTTP-файл cookie на компьютер пользователя, также ограниченный по времени. Пока эти файлы cookie действительны, от пользователя не требуется указывать имя пользователя и пароль. Если пользователь выйдет из своей учетной записи Microsoft, эти файлы cookie будут удалены.

Учетная запись Microsoft предлагает пользователю два разных метода создания учетной записи:

  1. Используйте существующий адрес электронной почты: Пользователи могут использовать свой действующий адрес электронной почты для регистрации учетной записи Microsoft. Служба превращает адрес электронной почты запрашивающего пользователя в учетную запись Microsoft. Пользователи также могут выбрать пароль по своему усмотрению.
  2. Подпишитесь на адрес электронной почты Microsoft: Пользователи также могут подписаться на учетную запись электронной почты в определенных доменах служб веб-почты Microsoft (например, @ hotmail.com, @ live.com, @ msn.com, @ паспорт.com и @ outlook.com или любой вариант для конкретной страны. ), который можно использовать в качестве учетной записи Microsoft для входа на другие веб-сайты с поддержкой учетной записи Microsoft.

Веб-сайты, службы и приложения Microsoft, такие как Bing, MSN и Xbox Live использовать учетную запись Microsoft как средство идентификации пользователей. Есть также несколько других компаний, которые используют его, например Hoyts веб-сайт, размещенный на ДевятьMSN.

Windows XP и более поздняя версия имеет возможность связать учетную запись пользователя Windows с учетной записью Microsoft, таким образом автоматически выполняя вход пользователей в свою учетную запись Microsoft при каждом обращении к службе. Начиная с Windows Server 2012, Windows позволяет пользователям напрямую аутентифицироваться на своих ПК, используя свою учетную запись Microsoft, а не локального или доменного пользователя.

Профиль

Особенностью службы учетных записей Microsoft является диспетчер профилей под названием Profile, который ранее был частью Windows Live. Он отображает информацию о конкретном пользователе, его недавних действиях и их отношениях с другими пользователями Windows Live. Это также дает возможность общаться с другими через Skype и через социальные сети, такие как Facebook, Мое пространство и LinkedIn.

Пользователи могут делиться некоторой своей личной информацией, такой как интересы и хобби, и социальной информацией, такой как их любимые цитаты, родной город или места проживания ранее. Профиль также позволяет пользователям изменять свои настройки конфиденциальности, чтобы решить, что будет опубликовано.

Веб-аутентификация

15 августа 2007 года Microsoft выпустила Windows Live ID Web Authentication SDK, позволяющий веб-разработчикам интегрировать Windows Live ID в свои веб-сайты, работающие на широком спектре платформ веб-серверов, включая ASP.NET (C # ), Ява, Perl, PHP, Python и Рубин.[13][14]

Поддержка OpenID

27 октября 2008 г. Microsoft объявила о своем публичном намерении поддержать OpenID framework, а Windows Live ID становится поставщиком OpenID.[15] Это позволит пользователям использовать свой Windows Live ID для входа на любой веб-сайт, поддерживающий аутентификацию OpenID. С августа 2009 года не было обновлений о планируемой Microsoft реализации OpenID,[16] однако с ноября 2013 года Microsoft публично участвовала в тестировании совместимости OpenID Connect.[17][18]

Способы входа

Помимо использования пароля учетной записи, пользователи могут войти в свою учетную запись Microsoft, приняв мобильное уведомление, отправленное на мобильное устройство с помощью Microsoft Authenticator, а FIDO 2 маркер безопасности или используя Windows Hello.[19] Пользователи также могут настроить двухфакторная аутентификация получив временный одноразовый код текстовым сообщением, телефонным звонком или с помощью приложение для аутентификации.

Функции

Снимок экрана страницы обзора учетной записи Microsoft

Учетная запись Microsoft - это веб-сайт, на котором пользователи могут управлять своей идентификацией. Возможности учетной записи Microsoft включают:

  • обновление информации пользователя, такой как имя и фамилия, адрес и т. д., связанной с учетной записью;
  • обновление пользовательских настроек, таких как предпочтительный язык или предпочтения для общения по электронной почте;
  • изменение или сброс паролей пользователей;
  • закрыть счет;
  • просматривать платежные данные, связанные с учетными записями.

Интегрирован с

Ниже приводится список компьютерных программ и веб-служб, которые поддерживают использование учетной записи Microsoft в качестве учетных данных, необходимых для процесса проверки подлинности.

Уязвимости безопасности

17 июня 2007 года Эрик Дуиндам, веб-разработчик из Нидерландов, сообщил о риске конфиденциальности и идентификации, заявив, что «программисты Microsoft сделали критическую ошибку, которая позволяет каждому создать идентификатор практически для любого адреса электронной почты».[20] Была найдена процедура, позволяющая пользователям регистрировать недействительные или используемые в настоящее время адреса электронной почты. После регистрации с действующим адресом электронной почты пользователю была отправлена ​​ссылка для подтверждения электронной почты. Однако перед его использованием пользователю было разрешено изменить адрес электронной почты на несуществующий или на адрес электронной почты, который в настоящее время используется кем-то другим. Ссылка для подтверждения затем заставила систему Windows Live ID подтвердить, что учетная запись имеет подтвержденный адрес электронной почты. Этот недостаток был исправлен через два дня, 19 июня 2007 года.[21]

20 апреля 2012 года Microsoft исправила ошибку в системе сброса пароля Hotmail, которая позволяла любому человеку сбрасывать пароль любой учетной записи Hotmail. Компания была уведомлена о недостатке исследователями из Vulnerability Lab в тот же день.[22] и ответил исправлением в течение нескольких часов - но не раньше, чем массовые атаки, поскольку техника эксплуатации быстро распространилась по Интернету.[23][24]

3 декабря 2015 г. исследователь безопасности обнаружил уязвимость в Adobe Experience Manager (AEM), которое использовалось на сайте signout.live.com, и сообщило об этом в Microsoft Security Response Center (MSRC). Эта уязвимость обеспечивала полный административный доступ к узлам публикации AEM. OSGi консоли и сделал возможным выполнение кода внутри JVM путем загрузки пользовательского пакета OSGi. Устранение уязвимости было подтверждено 3 мая 2016 г.[25]

Смотрите также

Другие службы идентификации

Управление идентификацией

Рекомендации

  1. ^ «Предстоящие изменения в сборках Windows 10 Insider Preview [ОБНОВЛЕНО 22.06]». Блог Windows Experience. Получено 2016-04-17.
  2. ^ Microsoft Passport: оптимизация торговли и общения в Интернете
  3. ^ Кэмерон, Ким (май 2005 г.). «Законы идентичности». Microsoft. Получено 2018-07-09.
  4. ^ Чейни, Майкл (27 января 2000). «Паспортный платеж». Получено 2007-11-03.
  5. ^ Ричардсон, Тим (2003-11-06). «Microsoft забывает обновить Hotmail». Реестр. Получено 2007-11-03.
  6. ^ Изменены условия конфиденциальности для Microsoft Passport
  7. ^ http://www.epic.org/privacy/consumer/MS_complaint.pdf
  8. ^ EPIC: Microsoft Passport Investigation Docket, http://epic.org/privacy/consumer/microsoft/passport.html
  9. ^ Microsoft настаивала на сторонних организациях
  10. ^ Ebay выбросил Microsoft Passport
  11. ^ Windows 8 Consumer Preview - часто задаваемые вопросы
  12. ^ «Что такое учетная запись Microsoft?». Microsoft. Получено 2 августа 2012. Учетная запись Microsoft »- это новое имя для того, что раньше называлось« Windows Live ID ».
  13. ^ LiveSide.net: Веб-проверка подлинности Windows Live ID окончательна В архиве 2008-10-23 на Wayback Machine 2007-07-16
  14. ^ Объявление в блоге команды Live ID: Выпущен пакет SDK для веб-аутентификации Windows Live ID для разработчиков[мертвая ссылка ] 2007-07-15
  15. ^ Windows Live ID становится поставщиком OpenID
  16. ^ Обновление состояния Windows Live ID OpenID
  17. ^ http://www.thread-safe.com/2013/11/microsoft-publicly-participates-in.html
  18. ^ https://msdn.microsoft.com/en-us/library/live/hh826544.aspx
  19. ^ Уоррен, Том (20 ноября 2018 г.). «Теперь вы можете войти в учетную запись Microsoft без пароля с помощью ключа безопасности». Грани. Vox Media. Получено 27 ноября 2018.
  20. ^ «Нарушена безопасность Windows Live ID» на erikduindam.com
  21. ^ Недостаток Microsoft Windows Live открыл дверь мошенникам В архиве 2008-05-18 на Wayback Machine
  22. ^ Microsoft MSN Hotmail - уязвимость для сброса пароля и настройки
  23. ^ Twitter / @msftsecresponse: в пятницу мы рассмотрели инцидент с функцией сброса, чтобы помочь защитить клиентов Hotmail, никаких действий не требуется
  24. ^ Брайт, Питер (27 апреля 2012 г.). «Microsoft исправляет основную ошибку 0-day Hotmail после очевидного массового использования». Ars Technica. В архиве с оригинала 21 октября 2012 г.. Получено Двадцать первое октября, 2012.
  25. ^ «Удаленное выполнение кода (RCE) на сайте Microsoft 'signout.live.com'»

дальнейшее чтение

внешняя ссылка