Tài khoản Microsoft
Loại website | Đăng nhập đơn |
---|---|
Chủ sở hữu | Microsoft |
Website | account |
Tài khoản Microsoft (tiếng Anh: Microsoft Account) hay MSA[1] (trước đó có tên là Microsoft Passport,[2] .NET Passport, Microsoft Passport Network, và Windows Live ID) là một dịch vụ web đăng nhập đơn được phát triển và cung cấp bởi Microsoft cho phép người dùng đăng nhập vào các trang web (như Outlook.com), các thiết bị (ví dụ như máy tính và máy tính bảng Windows 10, điện thoại Windows Phone, hay máy chơi game Xbox), và ứng dụng (bao gồm Visual Studio) sử dụng một tài khoản.
Khái quát sản phẩm
[sửa | sửa mã nguồn]Phần lớn các trang web sử dụng Windows Live ID là các trang và dịch vụ của Microsoft như Hotmail, MSNBC, MSN, Xbox Live của Xbox 360, .NET Messenger Service hay các thuê bao MSN, nhưng cũng có những công ty khác liên kết với Microsoft để sử dụng nó, như Expedia và Hoyts. Người dùng Hotmail hay MSN sẽ tự động có một Windows Live ID tương ứng với tài khoản của họ. Những dữ liệu đăng nhập gần nhất của người dùng đã bắt đầu cho phép làm mục tiêu quảng cáo cá nhân bởi những nhà quảng cáo sử dụng Microsoft adCenter.
Windows XP của Microsoft có một tùy chọn để liên kết một tài khoản người dùng Windows tới một Windows Live ID (chú ý rằng nó xuất hiện dưới tên là.NET Passport và Microsoft Passport (Network)), đăng nhập người dùng vào Windows Live ID bất cứ khi nào họ đăng nhập Windows.
Mối liên hệ giữa Windows Live ID với Windows CardSpace, một thành phần của Windows Vista, hiện không rõ có hay không; Kiến trúc sư trưởng về ID của Microsoft, Kim Cameron, đã đặt ra câu hỏi cho Windows Live ID về Luật Định danh của nó, nhiều cái trong số này đã bị vi phạm bởi Windows Live ID.
Khái quát về kỹ thuật
[sửa | sửa mã nguồn]Khi một người dùng mới bước vào một máy chủ thương mại, anh ta thoạt đầu sẽ được chuyển hướng đến máy chủ xác nhận gần nhất, họ sẽ hỏi anh ta tên người dùng và mật khẩu thông qua một kết nối bảo mật SSL, trừ khi người dùng có thể trình ra một GLOBALAUTH-cookie. Ngược lại, một người dùng mới được chấp nhận sẽ (a) có một GLOBALAUTH-cookie được mã hóa trong một khoảng thời gian nhất định được cài trên máy của anh ta và (b) nhận được một thẻ ID được mã hóa triple DES đã được đồng ý từ trước, giữa sự xác minh và máy chủ thương mại. Thẻ ID này sau đó được gửi đến máy chủ thương mại, theo đó máy chủ sẽ tạo ra một LOCALAUTH-cookie được mã hóa trên máy người dùng, cũng giới hạn thời gian. Việc sử dụng những cookie LOCAL và GLOBAL này cho những máy chủ xác minh và thương mại sẽ ngăn ngừa yêu cầu xác minh trong khoảng thời gian cố định, như trong giao thức Kerberos.
Nếu người dùng thoát ra khỏi Windows Live ID, những cookie này sẽ được xóa bỏ; tuy nhiên, người dùng thường bối rối với những chức năng đăng xuất của máy chủ thương mại khác, và thường vô tình để lại những cookie nguyên vẹn. Dịch vụ cũng dựa trên người dùng có cho phép trình duyệt của họ gửi cookie lên server.
Sau những lần cập nhật gần đây của Windows XP, một số người dùng đã gặp phải những cửa sổ popup yêu cầu họ nhập vào Windows Live ID bất cứ khi nào họ chọn vào thư mục Documents and Settings/username/
, bất kể họ có ID đó hay sử dụng những dịch vụ đó hay không. Điều này có thể được ngăn ngừa bằng cách xóa mục "My web sites on MSN" ra khỏi thư mục con NetHood trong thư mục này, đó chính là nguyên nhân gây nên do liên tục truy cập vào mạng.
Giấy phép số và những chỉ trích đầu tiên
[sửa | sửa mã nguồn]Windows Live ID (vào thời kỳ Microsoft Passport) đã bị chỉ trích bởi người được ủy quyền thay mặt cho các thành viên của Hội Biên giới Điện tử (Electronic Frontier Foundation), Deborah Pierce, như là một đe dọa tiềm tàng đến quyền riêng tư sau khi có phát hiện là Microsoft sẽ có toàn quyền truy cập và sử dụng thông tin khách hàng.[3] Các điều khoản riêng tư nhanh chóng được Microsoft cập nhật để làm dịu đi sự lo sợ của người dùng.
Những vấn đề về bảo mật
[sửa | sửa mã nguồn]Windows Live ID được sử dụng bởi nhiều dịch vụ để chứng minh quyền sở hữu của địa chỉ email của một người dùng. Tuy nhiên một lỗ hổng bảo mật đã được tìm thấy trong Windows Live ID vào 17 tháng 6 2007 bởi Erik Duindam, một nhà phát triển web ở Hà Lan, sau đó đã báo cáo đây là "một lỗi nguy cấp được tạo ra bởi những nhà lập trình Microsoft mà từ đó cho phép mọi người tạo ra một ID cho bất kỳ địa chỉ email ảo nào." [4]
Vấn đề đã tăng lên xung quanh đường dẫn xác nhận email nhận được khi đăng ký một tài khoản Windows Live ID mới. Một tiến trình dược tìm thấy cho phép người dùng đăng ký những địa chỉ email sai hoặc đã được sử dụng. Sau khi đăng ký với một địa chỉ email hợp pháp mà người dùng đã truy cập được, một đường dẫn xác nhận được gửi đến. Tuy nhiên, trước khi sử dụng nó, người dùng được phép thay đổi địa chỉ email ban đầu đến một email khác chưa tồn tại, hoặc một địa chỉ mail đang được dùng bởi một người dùng khác. Sau khi đăng xuất lần thứ hai và xác nhận sử dụng đường dẫn đầu tiên, hệ thống Microsoft chỉ đơn giản xác nhận tài khoản sử dụng địa chỉ email sai hoặc không dùng đến. Điều này cho thấy có những nguy cơ khi về danh tính và riêng tư, ví dụ như một đồng nghiệp sẽ giả làm giám đốc của người dùng hoặc một phóng viên giả dạng làm nhà đầu tư bằng cách dùng Windows Live Messenger.
Vấn đề này đã được tiếp thu và sửa chữa bởi Microsoft vào 19 tháng 6 2007. Nếu không có xác nhận địa chỉ email, Microsoft sẽ gắn một cảnh báo vào bất kỳ tin nhắn nhanh nào được gửi từ Windows Live Messenger trong tương lai, sẽ xuất hiện theo kiểu "fake@emailaddress (E-mail Address Not Verified)." Tuy nhiên, các tài khoản hiện tại với địa chỉ email giả mạo vẫn còn được hoạt động tính đến 20 tháng 6 năm 2007 mà không có cảnh báo gì. Microsoft không cung cấp thông tin gì hơn về sự ảnh hưởng của lỗ hổng bảo mật này.[5]
Xem thêm
[sửa | sửa mã nguồn]- Xbox Live
- Windows Live
- Liberty Alliance
- OASIS (tổ chức)
- Windows CardSpace
- OpenID, Yadis, Light-Weight Identity
Tham khảo
[sửa | sửa mã nguồn]- ^ “Upcoming changes to Windows 10 Insider Preview builds [UPDATED 6/22]”. Windows Experience Blog (bằng tiếng Anh). Truy cập ngày 17 tháng 4 năm 2016.
- ^ Microsoft Passport: Streamlining Commerce and Communication on the Web
- ^ “Privacy terms revised for Microsoft Passport”. Lưu trữ bản gốc ngày 29 tháng 6 năm 2012. Truy cập ngày 29 tháng 6 năm 2012.
- ^ http://www.exploring.nl/erik-duindam-us.pdf Lưu trữ 2007-06-29 tại Wayback Machine "Windows Live ID security breached" on eXploring.nl
- ^ "Windows Live Bug Opened Door to Scammers" - PC World[liên kết hỏng]