Tham gia Đăng nhập
Điểm:1
Matthew Skillman avatar Server

Brute Force AWS IAM MFA

lá cờ ci
Matthew Skillman

Câu hỏi: Cho rằng kẻ xấu có quyền truy cập vào aws_access_key_id của người dùng cũng như aws_secret_access_key được lưu trữ trong tệp ~/.aws/credentials, liệu kẻ xấu có thể nhanh chóng có được quyền truy cập vào người dùng đó với điều kiện phải có MFA không? (tức là AWS có triển khai một số loại dự phòng liên quan đến các lần thử MFA không thành công không?)

Giả định: tác nhân không có quyền truy cập vào thiết bị MFA nhưng có thể lặp lại theo chương trình thông qua tất cả các giá trị mã MFA có thể cũng như thử đăng nhập cho từng giá trị MFA có thể.

58
0 + 0
Matthew Skillman avatar
lá cờ ci
Matthew Skillman
Để làm rõ, tôi cho rằng sẽ có trường hợp giới hạn số lần thử không thành công nhưng tôi không thể tìm thấy bất kỳ tài liệu nào nêu chi tiết về tính năng này.
0
Hồi đáp
djdomi avatar
lá cờ za
djdomi
tôi không chắc lắm nhưng bảo mật sẽ là cách tốt hơn để đi đến câu hỏi này, đó là một câu hỏi hay nhưng có lẽ không phù hợp nhất trên serverfault.com
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
Tôi nghĩ nó ổn với SF, tôi chỉ không biết câu trả lời. Câu hỏi thú vị.
0
Hồi đáp
Điểm:1
Matthew Skillman avatar Server
lá cờ ci
Matthew Skillman

Không thể nhanh chóng có được quyền truy cập. Theo những gì tôi có thể thấy, bạn chỉ nhận được 5 lần đoán [liên quan đến mã MFA] cứ sau 4 phút. Sau quá nhiều lần thất bại, AWS sẽ tạm khóa người dùng IAM. Điều này có nghĩa là mọi nỗ lực tiếp theo để truy cập người dùng đó sẽ trở nên vô nghĩa vì ngay cả mã MFA chính xác cũng sẽ không cho phép bạn truy cập.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.