Điểm:1

Brute Force AWS IAM MFA

lá cờ ci

Câu hỏi: Cho rằng kẻ xấu có quyền truy cập vào aws_access_key_id của người dùng cũng như aws_secret_access_key được lưu trữ trong tệp ~/.aws/credentials, liệu kẻ xấu có thể nhanh chóng có được quyền truy cập vào người dùng đó với điều kiện phải có MFA không? (tức là AWS có triển khai một số loại dự phòng liên quan đến các lần thử MFA không thành công không?)

Giả định: tác nhân không có quyền truy cập vào thiết bị MFA nhưng có thể lặp lại theo chương trình thông qua tất cả các giá trị mã MFA có thể cũng như thử đăng nhập cho từng giá trị MFA có thể.

Matthew Skillman avatar
lá cờ ci
Để làm rõ, tôi cho rằng sẽ có trường hợp giới hạn số lần thử không thành công nhưng tôi không thể tìm thấy bất kỳ tài liệu nào nêu chi tiết về tính năng này.
djdomi avatar
lá cờ za
tôi không chắc lắm nhưng bảo mật sẽ là cách tốt hơn để đi đến câu hỏi này, đó là một câu hỏi hay nhưng có lẽ không phù hợp nhất trên serverfault.com
Tim avatar
lá cờ gp
Tim
Tôi nghĩ nó ổn với SF, tôi chỉ không biết câu trả lời. Câu hỏi thú vị.
Điểm:1
lá cờ ci

Không thể nhanh chóng có được quyền truy cập. Theo những gì tôi có thể thấy, bạn chỉ nhận được 5 lần đoán [liên quan đến mã MFA] cứ sau 4 phút. Sau quá nhiều lần thất bại, AWS sẽ tạm khóa người dùng IAM. Điều này có nghĩa là mọi nỗ lực tiếp theo để truy cập người dùng đó sẽ trở nên vô nghĩa vì ngay cả mã MFA chính xác cũng sẽ không cho phép bạn truy cập.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.