蛮力AWS IAM MFA

Question

问题:假设一个坏的参与者能够访问用户的aws_access_key_id以及存储在~/..aws/凭据文件中的aws_secret_access_key，那么如果需要MFA，该参与者能够快速访问该用户吗？(也就是说，AWS是否实现了与失败的MFA尝试相关的某种退避？)

假设:参与者无法访问MFA设备，但能够以编程方式迭代所有可能的MFA代码值，并尝试对每个可能的MFA值进行登录。

Answer 1

快速获得访问是不可能的。据我所见，你每4分钟只能得到5次关于外交部的守则猜测。在多次尝试失败后，AWS将暂时锁定IAM用户。这意味着所有进一步访问该用户的尝试都是毫无意义的，因为即使是正确的MFA代码也不会允许您访问。