Je automatické vyplňování správce hesel bezpečné? Ochrana před phishingem, kterou si většina uživatelů neuvědomuje
Automatické vyplňování je nejsilnější anti-phishingová funkce správce hesel: správci odmítnou vyplnit na nesprávné doméně. Tady je, jak ho bezpečně používat, a vzorce, které ochranu obejdou.
Proč je automatické vyplňování anti-phishingové
Moderní správci hesel ukládají přihlašovací údaje navázané na origin (doména + schéma + port). Při automatickém vyplňování správce zkontroluje, že aktuální origin přesně odpovídá uložené origin. Phishingový web na podobně vypadající doméně (g00gle-login.com) neodpovídá accounts.google.com, takže správce automaticky nevyplní. Prvním signálem uživatele, že něco není v pořádku, je, že očekávané přihlašovací údaje se neobjeví. Je to silnější anti-phishingový signál než vizuální kontrola URL, protože lidé přehlédnou jemné záměny znaků a homografické útoky; správce nikoli.
Jak uživatelé ochranu obcházejí
Ochrana funguje pouze tehdy, když uživatel důvěřuje chování správce. Dva vzorce ji obejdou. (1) Ruční kopírování a vkládání: pokud automatické vyplňování nefunguje, uživatel zkopíruje heslo z rozhraní trezoru správce a vloží ho do phishingového formuláře. Kontrola origin je obejita. (2) Ruční přepsání: většina správců nabízí rozhraní „použít přihlašovací údaje z jiného webu“ pro uživatele, kteří mění domény (poskytovatel přejmenuje svůj web atd.). Phishingové stránky, které připomínají známý web, mohou uživatele přimět použít tento přepisovací postup správce. Řešením je brát odmítnutí správce automaticky vyplnit jako stop signál a před jakýmkoli ručním přepsáním ověřit URL.
Architektonické obrany napříč auditovanými správci
Všech pět správců porovnávaných v pilířové tabulce této stránky — Bitwarden, 1Password, Proton Pass, NordPass, KeePassXC — implementuje automatické vyplňování navázané na origin. Bitwarden a 1Password vyžadují explicitní akci uživatele k vyplnění (kliknout do pole, pak vyplnit); nevyplňují při načtení stránky. To chrání před útoky typu invisible-iframe injection, kdy škodlivá stránka vloží skrytý přihlašovací formulář pro cennou origin. Starší verze některých konkurentů vyplňovaly při načtení stránky, což bylo zranitelné; tento vzorec je nyní u auditovaných správců vzácný.
Postupy, které zlepšují odolnost vůči phishingu v praxi
(1) Používejte automatické vyplňování rozšíření prohlížeče, nikoli kopírování a vkládání. (2) Pokud rozšíření přihlašovací údaje nenabídne, berte to jako signál ověřit URL, než cokoli jiného uděláte. (3) Zapněte 2FA u každého účtu, který to podporuje — i když heslo unikne, druhý faktor zablokuje přihlášení. (4) Přejděte na passkeys (FIDO2 / WebAuthn) na každém webu, který je podporuje; passkeys jsou navázány na origin na úrovni protokolu a nelze je phishingem získat ani při ruční chybě uživatele. Bitwarden, 1Password a Proton Pass v roce 2026 všichni passkeys ukládají a automaticky vyplňují.
Zdroje
Automatické vyplňování Bitwarden: bitwarden.com/help/auto-fill-browser. Automatické vyplňování 1Password: 1password.com/features. Automatické vyplňování Proton Pass: proton.me/pass. Specifikace WebAuthn / passkeys: w3.org/TR/webauthn-3. Všechny URL navštíveny 2026-04-30.