Windows Live ID

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск
Windows Live ID
WLIDLogo.PNG
Разработчик

Microsoft

Сайт

login.live.com

Windows Live ID (изначально Microsoft Wallet, Microsoft Passport, .NET Passport, Microsoft Passport Network) — сервис идентификации и аутентификации, предоставляемый системой Windows Live. Используется для единого входа на всех сетевых сервисах Microsoft. Продукт имеет программную документацию для встраивания в собственные приложения и веб-сайты.

История[править | править вики-текст]

Microsoft Passport, предшественник Windows Live ID, изначально позиционировался как единый идентификатор для всех сайтов. Microsoft Passport был подвергнут сильной критике. Одним из известных критиков был Ким Камерон, автор законов идентификации (Laws of Identity [1]). Он считал, что Microsoft Passport нарушает эти законы. С тех пор он стал главным архитектором по идентификации Microsoft и помог решению этих проблем при создании мета-системы Windows Live ID. Вследствие этого, Windows Live ID рассматривается теперь не как единая система идентификации для всех сайтов, но как одна из многих систем идентификации.

В декабре 1999 года Microsoft не стала платить ежегодные 35 долларов за доменное имя "passport.com". Из-за этого в канун Рождества перестал работать Hotmail, так как он использовал passport.com для аутентификации. Специалист по Linux, Майкл Чейни, заплатил за продление на следующий день (в Рождество), надеясь, что это позволит решить проблему. На следующее утро после оплаты сайт заработал.[2]

В 2001 году адвокат Electronic Frontier Foundation Дебора Пирс подвергла критике Microsoft Passport, за потенциальную угрозу для конфиденциальности: корпорация могла по своему усмотрению использовать данные пользователей.[3]. Пользовательское соглашение впоследствии было обновлено, чтобы развеять страхи клиентов.

Осенью 2003 года ещё один добрый самаритянин помог Microsoft, когда заплатил за очередной пропущенный платеж за "hotmail.co.uk".[4]

В 2003 г. Фейсал Данка[5], Британский ИТ-специалист по безопасности, показал серьёзную брешь в Microsoft Passport, с помощью которой любой аккаунт, связанный с Microsoft Passport или Hotmail, мог быть легко взломан при помощи обычного браузера.

Майкрософт, так же, пыталась продвинуть эту технологию для использования на сторонних сайтах. Windows Live ID использовался на eBay и Monster.com. Но в 2004 году эти соглашения были отменены.[6]

15 августа 2007 года корпорация Microsoft выпустила пакет Windows Live ID Web Authentication SDK, позволяющий веб-разработчикам интегрировать Windows Live ID в свои веб-сайты. Поддерживается работа со следующими технологиями: ASP.NET (C#), Java, Perl, PHP, Python и Ruby.[7][8]

В августе 2009 года, Expedia также отказалась от поддержки Microsoft Passport или Windows Live ID.

Обзор продукта[править | править вики-текст]

Windows Live ID состоит из адреса электронной почты, используемого в качестве логина, и пароля. Данный сервис используется для авторизации в большинстве сервисов Microsoft, а также в системах Hotmail, Xbox Live, OneDrive, Messenger. Также используется в родительском контроле.

Пользователи Hotmail или MSN автоматически получают идентификатор Windows Live ID, который соответствует их аккаунтам.

Microsoft Windows XP имеет возможность автоматической регистрации в службе Windows Live ID в момент входа пользователя в систему. Для Windows 7 также доступна такая возможность при использовании "помощника по входу Windows Live ID"[9]. В Windows 8 данный сервис необходим для получения доступа ко всем возможностям операционнай системы.

Поддержка Windows CardSpace[править | править вики-текст]

Пользователи Windows Live ID могут использовать Windows CardSpace (компонент .NET Framework начиная с версии 3.0) для доступа к своему аккаунту. Такой способ идентификации пользователя позволяет избавится от необходимости вводить пароль, используя вместо этого идентификатор CardSpace[10].

Поддержка OpenID[править | править вики-текст]

27 октября 2008 года корпорация Microsoft объявила о поддержке OpenID framework. Это позволило бы пользователям использовать свой Windows Live ID для входа на любые сайты, поддерживающие аутентификацию с помощь OpenID. Однако, спустя некоторое время после выхода CTP программа была свернута [11].

Регистрация учетной записи[править | править вики-текст]

Существуют два пути создания учетной записи:

  1. Использовать любой существующий адрес электронной почты: после регистрации, адрес этой почты можно использовать для входа на любой веб-сайт Windows Live ID.
  2. Зарегистрировать адрес электронной почты Microsoft: пользователь может также зарегистрироваться в любом почтовом домене Microsoft (например, @hotmail.com, @live.com, @msn.com, @passport.com или @outlook.com). Полученную учетную запись в дальнейшем возможно использовать во все совместимых сервисах.

Создание новой учетной записи возможно с использованием специального сервиса. При регистрации пользователь должен указать свое полное имя, идентификатор пользователя (логин), а также создать пароль, удовлетворяющий требованиям безопасности.

Если пользователь не хочет использовать учетную запись электронной почты для доступа к службе Windows Live ID, можно зарегистрировать учетную запись с ограниченными правами.

Совместимость между сервисами[править | править вики-текст]

Зачастую у пользователей возникает вопрос, имеют ли они Windows Live ID, а следовательно и доступ ко всем поддерживающим данный сервис веб-сайтам и приложениям. Для того, чтобы получить ответ, достаточно выяснить, зарегистрировал ли пользователь аккаунт на таких сервисах, как Hotmail, Xbox Live, OneDrive или Messenger. Если да - то в таком случае пользователь может использовать уже имеющийся логин и пароль для доступа к остальным сервисам.

Таким образом все поддерживающие Windows Live ID сервисы полностью совместимы.[12]

Аутентификация[править | править вики-текст]

Аутентификация Windows Live ID возможна несколькими способами:

  • Имя пользователя и пароль
  • Информационные карты Windows Cardspace
  • Federated Identity Authorities (WS-Trust)
  • Комбинации Пароль/PIN
  • Смарт-карты
  • RADIUS (для аутентификации с мобильных телефонов и XBox’ов)

Большинство пользователей используют наименее защищенный, первый способ. Поэтому безопасность аккаунта зависит напрямую от сложности пароля. Поддерживаются пароли длиной до 16 символов. Имеется система автоматической проверки надежности пароля.

Механизм работы[править | править вики-текст]

На высоком уровне описания механизм работы Windows Live ID состоит из трех шагов:

  1. Веб-приложение регистрируется в сервисе Windows Live ID. Процесс регистрации включает в себя создание уникальных ключей для приложения и хранения URL, который Live ID сервис будет использовать для перенаправления пользователей после аутентификации.
  2. Аутентификация пользователя. Приложение предоставляет специальную ссылку, переходя по которой, пользователь направляется на страницу аутентификации сервера Windows Live ID, которое в свою очередь запрашивает идентификатор учётной записи и пароль через SSL-защищенное соединение. Далее, пользователь вводит имя (логи́нанглlogin) и пароль, и в случае корректного совпадения введенных данных, сервис определяет данные и права пользователя в системе.
  3. Live сервис перенаправляет пользователя на страницу веб-приложения с информацией об успешном прохождении процесса аутентификации.

При этом, однажды авторизованный пользователь имеет на своем компьютере зашифрованные GlobalAuth и LocalAuth cookie, а также Triple DES зашифрованный идентификационный тег.

Предоставление этих LocalAuth-cookie и GlobalAuth-cookie серверу делает необязательной аутентификацию пользователя в течение срока действия cookie.

Windows Live не хранит и не отправляет никаких данных о пользователе или о его правах. Сервис используется исключительно для аутентификации пользователя. Ниже представлена высокоуровневая архитектурная диаграмма работы Windows Live ID сервиса:[13]

WLID-diagram

Проблемы безопасности[править | править вики-текст]

17 июня 2007 года 19-летний голландский веб-разработчик Эрик Дуиндам обнаружил брешь в системе защиты Windows Live ID. Она позволяла любому человеку зарегистрировать свой Windows Live ID на чужой или несуществующий почтовый ящик, и, таким образом, общаться от имени другого человека. Механизм взлома был прост: сначала нужно было зарегистрировать новую учетную запись Live ID, указав свой почтовый ящик. При получении кода активации ящика, сохранялась возможность поменять адрес своего почтового адреса (например, на mail@cnn.com, как и поступил Эрик). Пройдя по полученной ссылке активации ящика, вы подтверждали измененный почтовый ящик. 19 июня брешь была закрыта корпорацией Microsoft.[14]

Также Microsoft предоставляет информацию о том, как пользователь может максимально защитить свою учетную запись от несанкционированного доступа.

Управление учетной записью[править | править вики-текст]

Каждый пользователь имеет возможность управлять своей учетной записью, а именно:

  • обновлять такую пользовательскую информацию, как полное имя, адрес, телефонный номер, привязанный к аккаунту и т.д.
  • изменять пользовательские настройки, например, язык, предпочтительный для коммуникации по электронной почте
  • изменять или сбрасывать пользовательский пароль
  • получать детализацию счетов по оплате сервисов, связанных с аккаунтом
  • удалять аккаунт

Восстановление учетной записи[править | править вики-текст]

Есть несколько способов восстановить учетную запись Windows Live ID. Во-первых, если не получается войти в свою учетную запись, для восстановления можно ответить на предварительно сохраненный секретный вопрос, также используя своё местоположение. Если с учетной записью предварительно был сопоставлен номер мобильного телефона, можно использовать его. Если ни один из указанных способов не сработал, можно воспользоваться "ручной" верификацией владельца. Этот процесс занимает некоторое время (до 48-72 часов). Для восстановления требуется предоставить ключевую информацию об учетной записи. Критерии очень строгие, поэтому требуется предоставить как можно больше деталей по каждому из вопросов. Возможно, придется связаться с контактами из адресной книги учетной записи, чтобы предоставить такую информацию как заголовки писем и контактные адреса электронной почты. Не гарантируется, что агенты службы поддержки смогут идентифицировать личность владельца и помочь в восстановлении учетной записи.

Совместимые сервисы[править | править вики-текст]

См. также[править | править вики-текст]

Другие сервисы аутентификации

Управление аутентификацией

Примечания[править | править вики-текст]

Ссылки[править | править вики-текст]