id.dekimu.com es la puerta de entrada de cada app de Dekimu. Un solo login pasa a InvoiceUp, miniterms, el Hub, todos los satélites. Esa clase de infraestructura de identidad tiene que pasar el listón de seguridad de un banco, no el de un panel SaaS. Hoy id.dekimu.com lanza multifactor para usuario final: TOTP, passkeys, códigos de recuperación y step-up real sobre acciones sensibles.
Abre Ajustes → Seguridad en cualquier app de Dekimu y verás el nuevo panel de estado. Da de alta un factor TOTP con cualquier app autenticadora — 1Password, Bitwarden, Aegis, la que viene de serie con Apple o Android. Añade un passkey desde la misma pantalla con el prompt nativo del sistema. Acuñamos diez códigos de recuperación de un solo uso en el momento en que el primer factor entra; si pierdes todos tus dispositivos, esos códigos te devuelven el acceso.
MFA en el login es la mitad fácil. La mitad difícil es proteger acciones que deben requerir autenticación fresca incluso a mitad de sesión — borrar tu cuenta, rotar una API key, bajar de plan. Añadimos una señal de frescura a la sesión y un gate de step-up que intercepta peticiones privilegiadas, pide un factor, y reintenta la petición original una vez te has re-autenticado. Cada superficie sensible del ecosistema pasará por ahí según vayamos cableándolas.
MFA en el login es lo mínimo. MFA en acciones sensibles, a mitad de sesión, es la parte que la mayoría de apps se salta — y la parte que importa.
La señal de frescura viaja con la sesión que verifica cada satélite. Eso significa que un satélite puede preguntar '¿es esta sesión lo bastante fresca para borrar datos?' sin un round-trip extra a identidad. La señal sobrevive al refresh de sesión vía un canal auxiliar — el refresh te mantiene con sesión activa, pero no resetea el reloj de frescura para acciones sensibles. Cada consumidor de la librería de sesión compartida ya lee la nueva señal; un único schema canónico, sin drift.
Forzar solo llave hardware, MFA obligatorio por workspace por parte de admin, y SCIM/SSO van en el siguiente cubo — son ingeniería real y no protegen nada que la audiencia actual necesite. Rotar códigos de recuperación es un clic; borrar passkey es un clic; entradas de audit log saltan en cada enrolment y en cada challenge. Abre Ajustes → Seguridad y actívalo — no hay buena razón para esperar.