MFA y políticas de contraseña
La autenticación es el primer punto de defensa de la iglesia. Ministrium aplica políticas estrictas de contraseña y MFA (Multi-Factor Authentication, autenticación de doble factor) obligatorio para los roles privilegiados.
Política de contraseñas
Toda contraseña en Ministrium debe cumplir:
- Mínimo 12 caracteres.
- Al menos una letra mayúscula, una minúscula, un número y un símbolo.
- No estar en la lista de contraseñas comprometidas (validamos contra el dataset público de Have I Been Pwned cuando se crea o cambia la contraseña).
- No reutilizar las últimas 5 contraseñas del usuario.
No exigimos rotación periódica forzada. Las pautas modernas (NIST SP 800-63B) muestran que la rotación obligatoria empuja a los usuarios a contraseñas predecibles. En cambio:
- Forzamos cambio inmediato si detectamos una contraseña en una brecha pública.
- Forzamos cambio si se detecta actividad sospechosa en la cuenta.
MFA obligatorio para roles privilegiados
Los siguientes roles requieren MFA desde el primer login:
- admin
- pastor
- contador
- finanzas
Para el resto de roles (supervisor, secretaria, ministry_leader, cell_leader, member), MFA es opcional pero fuertemente recomendado y se puede activar desde el perfil de usuario.
Métodos de segundo factor soportados
| Método | Recomendación |
|---|---|
| TOTP (Google Authenticator, Authy, 1Password, Bitwarden) | Recomendado. Funciona sin Internet, no depende del operador celular. |
| WebAuthn / Passkeys | Recomendado para roles admin. Llaves de hardware (YubiKey) o passkeys biométricas del dispositivo. |
| SMS | Disponible como respaldo, no como método principal. SMS es vulnerable a SIM swapping. |
| Códigos de respaldo | 10 códigos de un solo uso entregados al activar MFA, para usar cuando se pierde el segundo factor. |
Recuperación de cuenta
Si el usuario pierde acceso al segundo factor:
- Puede usar uno de sus códigos de respaldo generados al activar MFA.
- Si tampoco tiene códigos, el admin de la iglesia puede resetear el MFA del usuario desde Iglesia → Equipo → Editar usuario → Resetear MFA.
- Si quien perdió el MFA es el único admin, escriba a soporte@ministrium.com desde el correo institucional de la iglesia. Verificamos identidad por canales fuera de banda antes de resetear.
Cada reset queda registrado en la auditoría con quién lo hizo, cuándo y desde qué IP.
Políticas de sesión
- Tokens de acceso de corta duración (15 minutos), renovados automáticamente con refresh tokens.
- Refresh tokens revocables: cerrar sesión los invalida inmediatamente.
- Cierre automático de sesión por inactividad después de 8 horas en kioskos, 24 horas en escritorio.
- Detección de sesiones concurrentes sospechosas (cambio de IP geográfico o de país); en ese caso forzamos re-autenticación.
- Cambio de contraseña revoca todas las sesiones activas del usuario.
Bloqueo por intentos fallidos
- Después de 5 intentos fallidos consecutivos, la cuenta queda bloqueada por 15 minutos.
- Después de 15 intentos fallidos en una hora desde diferentes IPs, se aplica un bloqueo extendido de 24 horas y se notifica al admin.
- El admin puede desbloquear manualmente desde Iglesia → Equipo → Editar usuario → Desbloquear.
Detección de actividad sospechosa
Ministrium monitorea automáticamente:
- Logins desde países o regiones nuevos para el usuario.
- Logins múltiples en muy poco tiempo desde IPs distintas.
- Patrones de acceso a datos inusuales para el rol.
Cuando se detecta actividad sospechosa:
- Se notifica al usuario por correo.
- Se notifica al admin de la iglesia.
- Se fuerza re-autenticación con MFA.
Si recibe una notificación de actividad sospechosa que no reconoce, cambie su contraseña inmediatamente y notifique a soporte@ministrium.com.
SSO (Single Sign-On) para planes enterprise
Las iglesias o denominaciones grandes pueden activar SSO contra su proveedor de identidad (Google Workspace, Microsoft Entra ID, Okta) en planes enterprise. Esto:
- Centraliza la gestión de usuarios en el directorio de la organización.
- Aplica las políticas de MFA del proveedor de identidad.
- Permite desactivación inmediata cuando un colaborador deja la iglesia.
Para activar SSO, escriba a ventas@ministrium.com.
Próximos pasos
- Cifrado — cómo se protegen las contraseñas y los tokens.
- Auditoría y logs — qué queda registrado de cada login.
- Roles y permisos — qué puede hacer cada rol después de autenticarse.