X, anteriormente conocido como Twitter, ha anunciado su interés en apoyar los métodos de inicio de sesión sin contraseña, luego de algunas semanas después del compromiso de la cuenta SEC en la plataforma.
Como medida de seguridad adicional para los usuarios de iOS, la compañía ahora ofrece su apoyo.
La compañía afirmó que esta característica proporciona una «seguridad mejorada» en comparación con las contraseñas tradicionales, ya que son generadas individualmente por el dispositivo para cada cuenta, lo que las hace menos susceptibles a ataques de phishing y acceso no autorizado.
Actualmente, el soporte para inicio de sesión sin contraseña solo está disponible para usuarios de iOS en Estados Unidos, y X no ha proporcionado un cronograma para determinar cuándo -si es que alguna vez- se expandirá este soporte. La decisión de esta plataforma de redes sociales surge de las promesas de varias compañías tecnológicas de apoyar los métodos de inicio de sesión sin contraseña en el futuro.
X genera un par único de claves: una clave pública y una clave privada, para cada cuenta que elige habilitar el soporte tecnológico. La clave pública se comparte y se almacena en X, mientras que la clave privada permanece en el dispositivo del usuario.
«Tu clave privada autentica tu cuenta de forma segura utilizando la clave pública del servidor, lo que te permite iniciar sesión sin ingresarla», dijo X en una publicación de blog. «Las claves se generan automáticamente, eliminando la necesidad de recordar información de inicio de sesión y se almacenan de forma segura para facilitar la recuperación».
Los defensores de los métodos de inicio de sesión sin contraseña argumentan que son más seguros que las contraseñas, porque no se pueden robar a través de violaciones de datos.
La decisión de implementar el soporte para el inicio de sesión sin contraseña se origina en las violaciones de varias cuentas conocidas en X. Por ejemplo, la cuenta de la SEC (Comisión de Valores y Bolsa) fue hackeada a principios de este mes y compartió enlaces que promovían un producto de Bitcoin en particular.
X atribuyó esta violación a un «individuo no identificado» que se apoderó del número de teléfono asociado con la cuenta a través de un sitio de terceros. X también afirmó que la cuenta de la SEC «no tenía autenticación de dos factores (2FA) habilitada en el momento de la violación».
Sin embargo, X también restringió el acceso a ciertas formas de autenticación de dos factores el año pasado, cuando introdujo una versión que dependía únicamente de mensajes de texto para los usuarios que pagan por la versión premium del sitio.
Actualmente, los usuarios no registrados que desean mantener la autenticación de dos factores en sus cuentas deben elegir entre una aplicación de autenticación y una llave de seguridad. X señaló el mal uso de la autenticación basada en mensajes de texto como la razón de este cambio.