Je li automatsko popunjavanje menadžera lozinki sigurno? Odbrana od phishinga koju većina korisnika ne shvata da ima
Automatsko popunjavanje je najjača anti-phishing funkcija menadžera lozinki: menadžeri odbijaju automatsko popunjavanje na pogrešnom domenu. Evo kako ga koristiti sigurno i obrasci koji poražavaju zaštitu.
Zašto je automatsko popunjavanje anti-phishing
Moderni menadžeri lozinki pohranjuju vjerodajnice vezane za porijeklo (origin) (domen + shema + port). Kada menadžer automatski popunjava, provjerava da se trenutno porijeklo tačno podudara sa pohranjenim porijeklom. Phishing sajt na domenu koji izgleda slično (g00gle-login.com) neće se podudarati sa accounts.google.com, pa menadžer neće automatski popuniti. Prvi korisnikov signal da nešto nije u redu jeste da se vjerodajnice koje očekuje da budu automatski popunjene ne pojavljuju. Ovo je jači anti-phishing signal od vizuelne inspekcije URL-a, jer ljudi previde suptilne zamjene znakova i homografske napade; menadžer ne.
Kako korisnici poražavaju zaštitu
Zaštita radi samo kada korisnik vjeruje ponašanju menadžera. Dva obrasca je poražavaju. (1) Ručno kopiraj-zalijepi: ako automatsko popunjavanje ne radi, korisnik kopira lozinku iz korisničkog sučelja trezora menadžera i zalijepi je u phishing obrazac. Provjera porijekla se zaobilazi. (2) Ručno premošćavanje: većina menadžera nudi sučelje 'koristi vjerodajnice s drugog sajta' za korisnike koji mijenjaju domene (dobavljač preimenuje svoj sajt, itd.). Phishing stranice koje liče na poznati sajt mogu navesti korisnika da koristi tok premošćavanja menadžera. Rješenje je da menadžerovo odbijanje automatskog popunjavanja shvatite kao signal za zaustavljanje i da verifikujete URL prije bilo kakvog ručnog premošćavanja.
Arhitektonske odbrane kod revidiranih menadžera
Svih pet menadžera upoređenih u pillar tabeli ovog sajta — Bitwarden, 1Password, Proton Pass, NordPass, KeePassXC — primjenjuju automatsko popunjavanje vezano za porijeklo. Bitwarden i 1Password zahtijevaju eksplicitnu korisnikovu radnju za automatsko popunjavanje (kliknite na polje, zatim popunite); oni ne popunjavaju automatski pri učitavanju stranice. Ovo štiti od napada ubacivanja nevidljivog iframea, gdje zlonamjerna stranica ugrađuje skriveni obrazac za prijavu za porijeklo visoke vrijednosti. Starije verzije nekih konkurenata jesu automatski popunjavale pri učitavanju stranice, što je bilo ranjivo; taj obrazac je sada rijedak kod revidiranih menadžera.
Prakse koje poboljšavaju stvarnu otpornost na phishing
(1) Koristite automatsko popunjavanje proširenja preglednika, a ne kopiraj-zalijepi. (2) Ako proširenje ne ponudi vjerodajnice, tretirajte to kao signal da verifikujete URL prije nego što uradite bilo šta drugo. (3) Omogućite 2FA na svakom nalogu koji ga podržava — čak i ako lozinka procuri, drugi faktor blokira prijavu. (4) Pređite na passkeyje (FIDO2 / WebAuthn) na svakom sajtu koji ih podržava; passkeyji su vezani za porijeklo na sloju protokola i ne mogu biti predmet phishinga čak ni uz ručnu korisnikovu grešku. Bitwarden, 1Password i Proton Pass svi pohranjuju i automatski popunjavaju passkeyje u 2026.
Izvori
Automatsko popunjavanje Bitwardena: bitwarden.com/help/auto-fill-browser. Automatsko popunjavanje 1Passworda: 1password.com/features. Automatsko popunjavanje Proton Passa: proton.me/pass. Specifikacija WebAuthn / passkeys: w3.org/TR/webauthn-3. Svim URL-ovima pristupljeno 2026-04-30.