質問: 悪意のある人物がユーザーの aws_access_key_id と ~/.aws/credentials ファイル内に保存されている aws_secret_access_key にアクセスした場合、MFA が必要な場合、その人物はすぐにそのユーザーにアクセスできますか? (つまり、AWS は失敗した MFA 試行に関連する何らかのバックオフを実装していますか?)
前提: 攻撃者は MFA デバイスにアクセスできませんが、すべての可能な MFA コード値をプログラムで反復処理し、可能な MFA 値ごとにログインを試行できます。
答え1
すぐにアクセスすることはできません。私が見たところ、MFA コードに関しては 4 分ごとに 5 回しか推測できません。試行に失敗すると、AWS は IAM ユーザーを一時的にロックします。つまり、正しい MFA コードでもアクセスは許可されないため、そのユーザーにアクセスしようとするすべての試行は無意味になります。