AWS 已经回答了您关于透明度的问题

披露我们的流程违反了我们的隐私和安全政策。

为避免被锁定在您的 root 帐户之外，请备份您的两个因素身份验证令牌。这将特定于您使用的解决方案。

如果您使用 Authy 应用程序进行两因素身份验证，它可以备份您的两因素登录，并使其在多个设备上可用。Authy 受密码保护。

关于您的问题“如何确保破坏第一层身份验证的黑客无法重置 MFA？”

两因素身份验证意味着黑客无法在没有您的手机或令牌的情况下访问您的网站，或者在 Authy 的情况下，没有 authy 帐户详细信息。这就是 2FA 的重点——你知道的东西（密码）和你拥有的东西（令牌）。

当您填写表格时，有专门的团队（不是来自高级支持）将在 15 分钟内通过电话与您联系，以验证您的身份和此帐户的所有权。在从根帐户中删除 MFA 之前，他们需要遵循非常严格的程序。对他们的问题的任何错误回答都将导致拒绝此请求并结束通话。

这句话中的语法错误让我想知道究竟是谁给了你这个答案。我相信有关恢复您的 MFA 的亚马逊网页上有更好的报价：

请告诉我们您在使用 MFA 设备时遇到的问题，并提供我们可以用来联系您的电话号码。我们将在您请求帮助后 15 分钟内给您打电话。

拼写错误有时是很好的指标。

尽管如此，

他们为什么不让验证过程透明化，否则这不是某种通过默默无闻的安全吗？

答案应该是“为什么不呢？”。它可能是默默无闻的安全，但它很可能是一个变化太快而无法广泛记录的过程。换句话说，AWS 仍在研究可以恢复 MFA 的过程，并且记录它只会提供更多工作来继续记录每个更改。

（我经常与 AWS 上的一个渗透测试团队联系（周五大部分时间都在一家酒吧里，但这仍然很重要）并且可以猜测后者更有可能。）

我可以做些什么来确保我不会被锁定在我的 AWS 根账户之外？

在同一页面上，您会看到向 AWS 管理员请求的表单，他们将与您交谈并验证您的身份。如果他们成功检查您的身份（即您成功证明您是您自己），他们将重定向多因素身份验证的一部分。

如何确保破坏第一层身份验证的黑客无法重置 MFA？

假设突破 MFA 第一部分的黑客会报告您的设备被盗，AWS 管理员/操作员要做的第一件事就是调用该设备。如果您回答设备，那么问题是您是否更有能力证明您是您自己，或者黑客能够证明他是您。对于黑客来说，这似乎很容易通过，但毕竟不是那么容易：

• 您的 AWS 账户有多久了？
• 您多久登录一次 Web 界面？
• 此帐户当前正在运行多少台 EC-2 机器？
• ...

所以是的，正如@Tim 已经说过的那样，这就是 MFA 的全部意义：你知道的东西加上你拥有的东西。将此扩展到您可能知道/不拥有的更多事物（例如，报告的“被盗”设备）可以很好地识别。

此外，如果 AWS 帐户非常重要（例如，您是您组织的 IAM 的主要管理员），您可以选择使用 amazon 提供的硬件的 MFA 选项。然后它变成了一个 3 因素身份验证：密码、带有应用程序的智能手机和密钥卡。如果您设法同时丢失了智能手机和密钥卡，那您一定特别不走运。