질문: 악의적인 행위자가 사용자의 aws_access_key_id와 ~/.aws/credentials 파일에 저장된 aws_secret_access_key에 대한 액세스 권한을 얻은 경우 MFA가 필요한 경우 행위자가 해당 사용자에 대한 액세스 권한을 신속하게 얻을 수 있습니까? (즉, AWS는 실패한 MFA 시도와 관련된 일종의 백오프를 구현합니까?)
가정: 행위자는 MFA 장치에 액세스할 수 없지만 가능한 모든 MFA 코드 값을 프로그래밍 방식으로 반복하고 가능한 각 MFA 값에 대해 로그인을 시도할 수 있습니다.
답변1
빠르게 접근하는 것은 불가능합니다. 내가 볼 수 있는 바에 따르면 [MFA 코드와 관련하여] 4분마다 5번만 추측할 수 있습니다. 시도가 너무 많이 실패하면 AWS는 IAM 사용자를 일시적으로 잠급니다. 즉, 올바른 MFA 코드라도 여전히 액세스를 허용하지 않으므로 해당 사용자에 대한 추가 액세스 시도는 의미가 없습니다.