1Password

구독
다운로드 93
업데이트 2025. 4. 12.

암호 인증 대량 실패

사용자가 다른 사용자에 비해 1Password 앱의 마스터 인증을 과다하게 실패하는 경우 탐지합니다.

쿼리

서브쿼리는 최근 1개월 감사 로그를 10분 단위로 분할하여, 암호 인증 실패가 과다하게 발생한 계정, 출발지 IP 주소 및 시간 구간을 추출합니다. 이렇게 추출된 이상 구간을 원본 인증 로그 최근 10분 내역과 대조하여 인증 로그를 근거 내역으로 추출합니다.

table duration=10m *:AUTH_1PASSWORD*        
| search _schema == "1password-signin"    
| eval slot_time = datetrunc(_time, "10m")       
| join src_ip, slot_time, target_user_uuid     
    [ table duration=1mon AUTH_1PASSWORD                 
    | search _schema == "1password-signin"                
    | eval slot_time = datetrunc(_time, "10m")                
    | search category == "credentials_failed"                
    | stats count by src_ip, slot_time, target_user_uuid, target_user_email                
    | lof eps=0.1 count                    
    | search _lof >= 2 and slot_time >= ago("10m")  ]
| eval user = target_user_email
| sort _time

메시지

  • 암호 인증 대량 실패: 행위자 $user_name ($user_email)

출력 필드 순서

  • _log_time, src_ip, src_asn, target_user_email, target_user_name, target_user_uuid, type, category, result, os_name, os_ver, platform_name, platform_ver, app_name, app_ver

위협 분석

  • 공격자는 다크웹에 유출된 암호 또는 암호 사전을 이용하여 1Password 인증을 시도할 수 있습니다. 1Password 서비스는 크리덴셜을 대량으로 보유하고 있으므로, 공격자가 1Password 인증에 성공한다면 심각한 피해가 발생할 수 있습니다.

오탐 유형

  • 사용자가 암호를 기억하지 못해서 반복적으로 시도하는 경우에도 대량 실패로 탐지될 수 있습니다.

대응 방안

  • 1Password Business 플랜을 사용하는 경우, 1Password 정책 관리 화면에서 방화벽 규칙을 설정합니다. 특정한 국가나 IP 주소를 허용하거나 거부하도록 설정할 수 있습니다.

MITRE ATT&CK