# SEC02-BP01 Usar mecanismos de inicio de sesión sólidos
<a name="sec_identities_enforce_mechanisms"></a>

 Exija una longitud mínima para las contraseñas y eduque a sus usuarios para que eviten las contraseñas comunes o reutilizadas. Aplique la autenticación multifactor (MFA) con mecanismos de software o hardware para proporcionar una capa de verificación adicional. Por ejemplo, al usar IAM Identity Center como origen de sus identidades, configure el ajuste “consciente del contexto” o “siempre activado” para la MFA, y permita a los usuarios que utilicen sus propios dispositivos para la MFA y, así, acelerar la adopción. Al utilizar un proveedor de identidades (IdP) externo, configure su IdP para la MFA. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Cree una política de identificación y administración de accesos (IAM) para exigir el inicio de sesión con MFA: cree una política de IAM administrada por el cliente que prohíba todas las acciones de IAM, excepto las que permitan a un usuario asumir roles, cambiar sus credenciales y gestionar sus dispositivos de MFA en la [página Mis credenciales de seguridad](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1). 
+  Active la MFA en su proveedor de identidades: active la [MFA](https:/aws.amazon.com/iam/details/mfa) en el proveedor de identidades o el servicio de inicio de sesión único, como [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html), que vaya a utilizar. 
+  Configure una política de contraseña segura: configure una [política de contraseñas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) segura en IAM y en los sistemas de identidad federada para protegerse contra ataques de fuerza bruta. 
+  [Rotar las credenciales con frecuencia](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials): asegúrese de que los administradores de su carga de trabajo cambien sus contraseñas y claves de acceso (si las usan) con frecuencia. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [Introducción a AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Proveedores de identidades y federación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Usuario raíz de una cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected) 
+  [Introducción a AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected) 
+   [Credenciales de seguridad temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected) 
+  [Soluciones de socios de seguridad: acceso y control de acceso](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Credenciales de seguridad temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Usuario raíz de una cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Videos relacionados:** 
+  [Prácticas recomendadas para administrar, recuperar y rotar secretos a escala](https://youtu.be/qoxxRlwJKZ4) 
+  [Administración de permisos de usuarios a escala con IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Dominar la identidad en cada piso de la tarta](https://www.youtube.com/watch?v=vbjFjMNVEpc)