Je li automatsko popunjavanje upravitelja lozinki sigurno? Obrana od phishinga koju većina korisnika ne shvaća da ima
Automatsko popunjavanje najjača je značajka upravitelja lozinki protiv phishinga: upravitelji odbijaju automatsko popunjavanje na krivoj domeni. Evo kako ga sigurno koristiti i obrasci koji poništavaju zaštitu.
Zašto je automatsko popunjavanje protiv phishinga
Moderni upravitelji lozinki pohranjuju vjerodajnice vezane uz podrijetlo (domena + shema + port). Kada upravitelj automatski popunjava, provjerava odgovara li trenutačno podrijetlo točno pohranjenom podrijetlu. Phishing stranica na sličnoj domeni (g00gle-login.com) neće odgovarati accounts.google.com, pa upravitelj neće automatski popuniti. Prvi korisnikov signal da nešto nije u redu jest da se vjerodajnice koje očekuje da se automatski popune ne pojavljuju. To je jači signal protiv phishinga od vizualne provjere URL-a jer ljudi propuštaju suptilne zamjene znakova i homografske napade; upravitelj ne propušta.
Kako korisnici poništavaju zaštitu
Zaštita djeluje samo kada korisnik vjeruje ponašanju upravitelja. Dva obrasca je poništavaju. (1) Ručno kopiranje i lijepljenje: ako automatsko popunjavanje ne radi, korisnik kopira lozinku iz sučelja trezora upravitelja i lijepi je u phishing obrazac. Provjera podrijetla se zaobilazi. (2) Ručno nadjačavanje: većina upravitelja nudi sučelje „upotrijebi vjerodajnice s druge stranice” za korisnike koji mijenjaju domene (dobavljač preimenuje svoju stranicu itd.). Phishing stranice koje nalikuju poznatoj stranici mogu navesti korisnika da upotrijebi taj tok nadjačavanja upravitelja. Rješenje je odbijanje automatskog popunjavanja upravitelja shvatiti kao signal za zaustavljanje i provjeriti URL prije bilo kakvog ručnog nadjačavanja.
Arhitektonske obrane kod revidiranih upravitelja
Svih pet upravitelja uspoređenih u stupnoj tablici ove stranice — Bitwarden, 1Password, Proton Pass, NordPass, KeePassXC — implementira automatsko popunjavanje vezano uz podrijetlo. Bitwarden i 1Password zahtijevaju izričitu korisničku radnju za automatsko popunjavanje (kliknite polje, zatim popuni); ne popunjavaju automatski pri učitavanju stranice. To štiti od napada ubacivanja nevidljivog iframea u kojima zlonamjerna stranica ugrađuje skriveni obrazac za prijavu za podrijetlo visoke vrijednosti. Starije verzije nekih konkurenata jesu automatski popunjavale pri učitavanju stranice, što je bilo ranjivo; taj je obrazac sada rijedak kod revidiranih upravitelja.
Prakse koje poboljšavaju stvarnu otpornost na phishing
(1) Koristite automatsko popunjavanje proširenja preglednika, a ne kopiranje i lijepljenje. (2) Ako proširenje ne nudi vjerodajnice, shvatite to kao signal da provjerite URL prije nego što učinite bilo što drugo. (3) Omogućite 2FA na svakom računu koji ga podržava — čak i ako lozinka procuri, drugi faktor blokira prijavu. (4) Prijeđite na pristupne ključeve (FIDO2 / WebAuthn) na svakoj stranici koja ih podržava; pristupni ključevi vezani su uz podrijetlo na razini protokola i ne mogu biti izloženi phishingu čak ni uz ručnu korisničku pogrešku. Bitwarden, 1Password i Proton Pass 2026. svi pohranjuju i automatski popunjavaju pristupne ključeve.
Izvori
Bitwarden automatsko popunjavanje: bitwarden.com/help/auto-fill-browser. 1Password automatsko popunjavanje: 1password.com/features. Proton Pass automatsko popunjavanje: proton.me/pass. WebAuthn / pristupni ključevi specifikacija: w3.org/TR/webauthn-3. Svi URL-ovi pristupljeni 2026-04-30.