热门资讯

1Password将修复「重大」缺陷调用硬件密钥不需要PIN

业界来源：蓝点网 2026-06-06 21:50:59

安全研究员巴勃罗・萨巴泰拉 (Pablo Sabbatella) 日前分享自己向 1Password 提交漏洞通报的经历，但这个问题本身不属于漏洞而是不符合最佳安全实践的缺陷，巴勃罗提交通报后 1Password 花费超过 100 天才确认将修复这个缺陷。问题是 1Password 安全团队也不认为这是漏洞，所以不会向巴勃罗提供漏洞奖金，作为鼓励措施 1Password 向巴勃罗账户增加 10 美元余额可以在未来续费时使用。

这个缺陷的内容倒是非常简单：

硬件安全密钥 YubiKey 可以设置 PIN 码作为解锁验证，也就是实际需要调用密钥时必须先输入 PIN 码进行软解锁，随后再触碰密钥上方的指示器进行确认。1Password 支持将这类硬件安全密钥设置为替代安全验证方式，例如用户在桌面版登录时就可以使用 YubiKey 进行快速解锁。

本次提到的问题在于，作为密码管理器软件，研究人员认为 1Password 应当遵循最佳安全实践，也就是调用硬件安全密钥时理应提供 PIN 验证选项，在某些追求高安全的场景中额外的验证有助于提高安全性。

为什么超过 100 天才准备修复也很简单，研究人员将这个缺陷视为漏洞，而 1Password 将这个问题视为功能 BUG 或功能请求 (增加新功能)，因此安全团队并没有将问题优先级设置的比较高，相反这应该直接转给产品团队按照产品团队的迭代计划来处置。

7 月份 1Password 将支持硬件密钥 PIN：

1Password 副总裁在回应此事时已经确认晚些时候将为 Windows 版和 Mac 版添加硬件密钥 PIN 的支持，完成测试后预计到 7 月份发布的 1Password 正式版就会带来 PIN 验证，到时候用户若使用支持 PIN 解锁验证的硬件安全密钥时，进行调用时首先会弹出 PIN 输入框，正确输入 PIN 后再触摸硬件密钥完成确认。

至于 1Password 为什么没有要求验证可能是因为攻击场景过于极端，该软件可以将 YubiKey 配置为 2FA 验证，而在桌面初次登录账户时，需要账号、密码、安全码以及 2FA 验证，也就是说攻击者得首先获得你的账号密码和安全码，然后拿到你的 YubiKey 再去尝试登录。

浏览器上的 1Password 调用硬件密钥认证时是需要输入 PIN 的，桌面版登录不需要验证的这个小短板很快就会被补上。