Учетная запись Microsoft или MSA [1] (ранее известная как Microsoft Passport , [2] .NET Passport и Windows Live ID ) — это персональная учетная запись пользователя с единым входом , с помощью которой клиенты Microsoft могут входить в потребительские [3] [4] службы Microsoft (например, Outlook.com ), устройства, работающие на одной из текущих операционных систем Microsoft (например, компьютеры и планшеты Microsoft Windows , консоли Xbox ) и прикладное программное обеспечение Microsoft (включая Visual Studio ).
Учетная запись Microsoft позволяет пользователям входить на веб-сайты, поддерживающие эту службу, используя единый набор учетных данных — эти имена пользователей имеют ту же форму, что и адрес электронной почты . Учетная запись Microsoft предлагает пользователю два различных способа создания учетной записи:
Домены @live.com и @passport.com, а также другие домены больше не предлагаются, но существующие учетные записи сохраняются.
Веб-сайты, сервисы и приложения Microsoft, такие как Bing , MSN и Xbox Live, используют учетную запись Microsoft в качестве средства идентификации пользователей. Есть также несколько других компаний, которые используют ее, например веб-сайт Hoyts , размещенный на NineMSN .
Windows XP и более поздние версии имеют возможность связать локальную учетную запись пользователя Windows с учетной записью Microsoft, таким образом автоматически входя в учетную запись Microsoft при каждом доступе к службе. Начиная с Windows 8 и Windows Server 2012 , Windows позволяет пользователям напрямую аутентифицироваться на своих ПК, используя свою учетную запись Microsoft, а не локального или доменного пользователя. [5]
Помимо использования пароля учетной записи, пользователи могут войти в свою учетную запись Microsoft, приняв мобильное уведомление, отправленное на мобильное устройство с помощью Microsoft Authenticator, токена безопасности FIDO 2 или с помощью Windows Hello . [6] Пользователи также могут настроить двухфакторную аутентификацию , получив одноразовый код с ограниченным сроком действия по текстовому сообщению, по телефону или с помощью приложения-аутентификатора.
Учетные данные пользователей проверяются не веб-сайтами с поддержкой учетных записей Microsoft, а сервером аутентификации учетных записей Microsoft. Новый пользователь, входящий на веб-сайт с поддержкой учетных записей Microsoft, сначала перенаправляется на ближайший сервер аутентификации, который запрашивает имя пользователя и пароль через SSL- соединение. Пользователь может выбрать, чтобы его компьютер запомнил его логин: у недавно вошедшего в систему пользователя на компьютере хранится зашифрованный ограниченный по времени файл cookie, и он получает зашифрованный тройной DES -тег ID, который был предварительно согласован между сервером аутентификации и веб-сайтом с поддержкой учетных записей Microsoft. Затем этот тег ID отправляется на веб-сайт, после чего веб-сайт помещает на компьютер пользователя другой зашифрованный HTTP-файл cookie, также ограниченный по времени. Пока эти файлы cookie действительны, пользователю не требуется предоставлять имя пользователя и пароль. Если пользователь активно выходит из своей учетной записи Microsoft, эти файлы cookie будут удалены.
Microsoft также предлагает рабочую или школьную учетную запись , которая настраивается администратором как часть организации. Эти учетные записи отделены от учетных записей Microsoft (которые также называются персональными учетными записями ) и не могут быть объединены, но могут использоваться пользователем параллельно. [7] [8] Рабочая или школьная учетная запись использует платформу домена Azure Active Directory . [9]
Microsoft Passport, предшественник Windows Live ID, изначально позиционировался как единый сервис входа для всей веб-коммерции. Microsoft Passport подвергся большой критике. Известным критиком был Ким Кэмерон , автор книги «Законы идентификации» [10], который подверг сомнению нарушения Microsoft Passport этих законов. Затем он присоединился к Microsoft в 1999 году после того, как его компания была приобретена, и был ее главным архитектором доступа и идентификации до своего выхода на пенсию в 2019 году, помогая устранять эти нарушения при разработке метасистемы идентификации учетных записей Microsoft. Как следствие, учетные записи Microsoft не позиционируются как единый сервис входа для всей веб-коммерции, а как один из многих вариантов систем идентификации.
В декабре 1999 года Microsoft забыла заплатить свой ежегодный сбор за регистрацию домена "passport.com" в размере 35 долларов в пользу Network Solutions . Из-за этого упущения Hotmail , который использовал сайт для аутентификации, стал недоступен 24 декабря. Консультант по Linux Майкл Чейни заплатил на следующий день ( на Рождество ), надеясь, что это решит проблему с неработающим сайтом. Платеж привел к тому, что сайт стал доступен на следующее утро. [11] Осенью 2003 года похожий добрый самаритянин помог Microsoft, когда они пропустили оплату по адресу "hotmail.co.uk", хотя простоя не произошло. [12]
В 2001 году штатный юрист Electronic Frontier Foundation Дебора Пирс раскритиковала Microsoft Passport как потенциальную угрозу конфиденциальности после того, как выяснилось, что Microsoft будет иметь полный доступ к информации клиентов и возможность ее использования. [13] Условия конфиденциальности были быстро обновлены Microsoft, чтобы развеять опасения клиентов.
В июле и августе 2001 года Electronic Privacy Information Center и коалиция из четырнадцати ведущих групп потребителей подали жалобы [14] в Федеральную торговую комиссию (FTC), утверждая, что система Microsoft Passport нарушает Раздел 5 Закона о Федеральной торговой комиссии (FTCA) , который запрещает несправедливые или обманные методы в торговле. [15] В августе 2002 года Microsoft согласилась урегулировать возникшие в результате обвинения FTC. В рамках урегулирования Microsoft была обязана внедрить и поддерживать комплексную программу безопасности, а также ей было запрещено искажать информацию. [16]
Microsoft настаивала на том, чтобы организации, не входящие в Microsoft, создали единую систему входа в систему для всего Интернета. [17] Примерами сайтов, которые использовали Microsoft Passport, были eBay и Monster.com , но в 2004 году эти соглашения были расторгнуты. [18] В августе 2009 года Expedia разослала уведомление о том, что они больше не поддерживают Microsoft Passport / Windows Live ID.
В 2012 году Windows Live ID был переименован в учетную запись Microsoft. [19] [20]
Учетная запись Microsoft — это веб-сайт, на котором пользователи могут управлять своей идентификацией. Возможности учетной записи Microsoft включают:
Ниже приведен список компьютерных программ и веб-служб, которые поддерживают использование учетной записи Microsoft в качестве учетных данных, необходимых для процесса аутентификации.
15 августа 2007 года Microsoft выпустила Windows Live ID Web Authentication SDK, позволяющий веб-разработчикам интегрировать Windows Live ID в свои веб-сайты, работающие на широком спектре платформ веб-серверов, включая ASP.NET ( C# ), Java , Perl , PHP , Python и Ruby . [21] [22]
27 октября 2008 года Microsoft объявила, что она публично взяла на себя обязательство поддерживать фреймворк OpenID , а Windows Live ID стала поставщиком OpenID. [23] Это позволило бы пользователям использовать свой Windows Live ID для входа на любой веб-сайт, поддерживающий аутентификацию OpenID. С августа 2009 года не было никаких обновлений о запланированной реализации OpenID компанией Microsoft, [24] однако с ноября 2013 года Microsoft публично участвовала в тестировании совместимости OpenID Connect. [25] [26]
17 июня 2007 года Эрик Дуиндам, веб-разработчик из Нидерландов, сообщил о риске конфиденциальности и идентификации, заявив, что «программисты Microsoft допустили критическую ошибку, которая позволяет каждому создать идентификатор практически для любого адреса электронной почты». [27] Была обнаружена процедура, позволяющая пользователям регистрировать недействительные или используемые в настоящее время адреса электронной почты. После регистрации с действительным адресом электронной почты пользователю отправлялась ссылка для проверки электронной почты. Однако перед ее использованием пользователю разрешалось изменить адрес электронной почты на тот, который не существует, или на адрес электронной почты, который в настоящее время используется кем-то другим. Затем ссылка для проверки заставила систему Windows Live ID подтвердить, что учетная запись имеет проверенный адрес электронной почты. Этот недостаток был исправлен два дня спустя, 19 июня 2007 года. [28]
20 апреля 2012 года Microsoft исправила уязвимость в системе сброса пароля Hotmail, которая позволяла любому человеку сбросить пароль любой учетной записи Hotmail. Компания была уведомлена об уязвимости исследователями из Vulnerability Lab в тот же день [29] и отреагировала исправлением в течение нескольких часов — но не раньше, чем начались массовые атаки, поскольку техника эксплуатации быстро распространилась по всему Интернету. [30] [31]
3 декабря 2015 года исследователь безопасности обнаружил уязвимость в программном обеспечении Adobe Experience Manager (AEM), используемом на signout.live.com, и сообщил об этом в Microsoft Security Response Center (MSRC). Эта уязвимость позволяла получить полный административный доступ к консоли OSGi узлов публикации AEM и позволяла выполнять код внутри JVM посредством загрузки пользовательского пакета OSGi. Было подтверждено, что уязвимость была устранена 3 мая 2016 года. [32]
Другие услуги по идентификации
Управление идентификацией
Учетная запись Microsoft» — это новое название того, что раньше называлось «Windows Live ID».