問題:鑑於不良行為者獲得了對使用者的 aws_access_key_id 以及儲存在 ~/.aws/credentials 檔案中的 aws_secret_access_key 的存取權限,如果需要 MFA,該行為者是否能夠快速獲得對該使用者的存取權限? (即 AWS 是否實施與失敗的 MFA 嘗試相關的某種退避?)
假設:參與者無權存取 MFA 設備,但能夠以程式設計方式迭代所有可能的 MFA 代碼值,並嘗試登入每個可能的 MFA 值。
答案1
不可能快速獲得存取權限。據我所知,每 4 分鐘你只能得到 5 次猜測(關於 MFA 代碼)。嘗試失敗次數過多後,AWS 將暫時鎖定 IAM 使用者。這意味著訪問該用戶的所有進一步嘗試都將毫無意義,因為即使正確的 MFA 代碼仍然不允許您訪問。