问题:假设恶意行为者获得了用户的 aws_access_key_id 以及存储在 ~/.aws/credentials 文件中的 aws_secret_access_key 的访问权限,如果需要 MFA,该行为者是否能够快速获得该用户的访问权限?(即 AWS 是否实施了与失败的 MFA 尝试相关的某种退避措施?)
假设:参与者无权访问 MFA 设备,但能够以编程方式遍历所有可能的 MFA 代码值,并尝试为每个可能的 MFA 值登录。
答案1
无法快速获得访问权限。据我所知,每 4 分钟您只能猜测 5 次 [MFA 代码]。尝试失败次数过多后,AWS 将暂时锁定 IAM 用户。这意味着所有进一步访问该用户的尝试都将毫无意义,因为即使正确的 MFA 代码仍然不允许您访问。