Desde la página de inicio :
Un potente cóctel de cifrado AES-256 y derivación de clave PBKDF2 garantiza que nadie más que usted pueda ver sus datos. Todo, desde sus contraseñas hasta las direcciones de sus sitios web guardados, está totalmente encriptado cuando no está usando 1Password.
Parece que obtienen una clave de cifrado de tu contraseña usando PBKDF2 y luego la usan para cifrar tus contraseñas con AES de 256 bits. (O tal vez solo usan la clave derivada de la contraseña para cifrar otra clave con la que cifran sus contraseñas, para simplificar el cambio de contraseña, pero la seguridad debería ser la misma).
En otras palabras, es como su primera opción (pero, por supuesto, solo he leído su página de inicio, no su código fuente). Un administrador de contraseñas que funcionó como su segunda opción sería una catástrofe de seguridad, y espero que no haya ninguna en el mercado.