Ist das Autofill von Passwortmanagern sicher? Der Phishing-Schutz, den die meisten Nutzer nicht bemerken
Autofill ist das stärkste Anti-Phishing-Feature des Passwortmanagers: Manager verweigern das Autofill auf der falschen Domain. Hier ist, wie man es sicher nutzt, und die Muster, die den Schutz aushebeln.
Warum Autofill Anti-Phishing ist
Moderne Passwortmanager speichern Zugangsdaten gebunden an eine Origin (die Domain + das Schema + den Port). Beim Autofill prüft der Manager, dass die aktuelle Origin exakt mit der gespeicherten Origin übereinstimmt. Eine Phishing-Site auf einer ähnlich aussehenden Domain (g00gle-login.com) stimmt nicht mit accounts.google.com überein, also füllt der Manager nicht automatisch aus. Das erste Signal des Nutzers, dass etwas nicht stimmt, ist, dass die erwarteten Zugangsdaten nicht erscheinen. Das ist ein stärkeres Anti-Phishing-Signal als die visuelle Prüfung der URL, weil Menschen subtile Zeichenersetzungen und Homograph-Angriffe übersehen; der Manager nicht.
Wie Nutzer den Schutz aushebeln
Der Schutz funktioniert nur, wenn der Nutzer dem Verhalten des Managers vertraut. Zwei Muster hebeln ihn aus. (1) Manuelles Kopieren und Einfügen: Funktioniert das Autofill nicht, kopiert der Nutzer das Passwort aus der Tresor-Oberfläche des Managers und fügt es in das Phishing-Formular ein. Die Origin-Prüfung wird umgangen. (2) Manuelles Übersteuern: Die meisten Manager bieten eine Oberfläche „Zugangsdaten von einer anderen Site verwenden“ für Nutzer, die die Domain wechseln (ein Anbieter benennt seine Site um usw.). Phishing-Seiten, die einer bekannten Site ähneln, können den Nutzer dazu bringen, diesen Übersteuerungs-Flow des Managers zu nutzen. Die Lösung ist, die Autofill-Verweigerung eines Managers als Stoppsignal zu nehmen und die URL vor jeder manuellen Übersteuerung zu prüfen.
Architektonische Schutzmechanismen der auditierten Manager
Alle fünf in der Pillar-Tabelle dieser Seite verglichenen Manager — Bitwarden, 1Password, Proton Pass, NordPass, KeePassXC — setzen Origin-gebundenes Autofill um. Bitwarden und 1Password erfordern eine explizite Nutzeraktion zum Autofill (auf das Feld klicken, dann ausfüllen); sie füllen nicht beim Laden der Seite aus. Das schützt vor Invisible-iframe-Injection-Angriffen, bei denen eine bösartige Seite ein verstecktes Login-Formular für eine hochwertige Origin einbettet. Ältere Versionen einiger Mitbewerber füllten beim Laden der Seite aus, was angreifbar war; dieses Muster ist bei auditierten Managern inzwischen selten.
Praktiken, die die reale Phishing-Resistenz verbessern
(1) Nutzen Sie das Autofill der Browser-Erweiterung, nicht Kopieren und Einfügen. (2) Bietet die Erweiterung keine Zugangsdaten an, werten Sie das als Signal, die URL zu prüfen, bevor Sie irgendetwas anderes tun. (3) Aktivieren Sie 2FA bei jedem Konto, das es unterstützt — selbst wenn ein Passwort durchsickert, blockiert der zweite Faktor den Login. (4) Wechseln Sie zu Passkeys (FIDO2 / WebAuthn) auf jeder Site, die sie unterstützt; Passkeys sind auf Protokollebene an die Origin gebunden und können selbst bei einem manuellen Nutzerfehler nicht gephisht werden. Bitwarden, 1Password und Proton Pass speichern und füllen Passkeys 2026 alle automatisch aus.
Quellen
Bitwarden-Autofill: bitwarden.com/help/auto-fill-browser. 1Password-Autofill: 1password.com/features. Proton Pass-Autofill: proton.me/pass. WebAuthn- / Passkeys-Spezifikation: w3.org/TR/webauthn-3. Alle URLs abgerufen am 2026-04-30.