Is het automatisch invullen van wachtwoordmanagers veilig? De phishingbescherming die de meeste gebruikers niet beseffen te hebben
Automatisch invullen is de sterkste antiphishingfunctie van de wachtwoordmanager: managers weigeren automatisch in te vullen op het verkeerde domein. Hier is hoe je het veilig gebruikt en de patronen die de bescherming omzeilen.
Waarom automatisch invullen antiphishing is
Moderne wachtwoordmanagers slaan inloggegevens op die gekoppeld zijn aan een origin (het domein + het schema + de poort). Bij het automatisch invullen controleert de manager of de huidige origin exact overeenkomt met de opgeslagen origin. Een phishingsite op een gelijkend domein (g00gle-login.com) komt niet overeen met accounts.google.com, dus de manager vult niet automatisch in. Het eerste signaal voor de gebruiker dat er iets mis is, is dat de inloggegevens die hij verwacht automatisch ingevuld te zien, niet verschijnen. Dit is een sterker antiphishingsignaal dan de visuele inspectie van de URL, omdat mensen subtiele tekenvervangingen en homoglyph-aanvallen missen; de manager niet.
Hoe gebruikers de bescherming omzeilen
De bescherming werkt alleen als de gebruiker het gedrag van de manager vertrouwt. Twee patronen omzeilen haar. (1) Handmatig kopiëren en plakken: als het automatisch invullen niet werkt, kopieert de gebruiker het wachtwoord uit de kluisinterface van de manager en plakt het in het phishingformulier. De origin-controle wordt omzeild. (2) Handmatige overschrijving: de meeste managers bieden een interface "inloggegevens van een andere site gebruiken" voor gebruikers die van domein wisselen (een aanbieder hernoemt zijn site, enz.). Phishingpagina's die op een bekende site lijken, kunnen de gebruiker ertoe verleiden om dit overschrijvingsproces van de manager te gebruiken. De oplossing is om de weigering van een manager om automatisch in te vullen als stopsignaal te beschouwen en de URL te controleren vóór elke handmatige overschrijving.
Architecturale verdedigingen in de geauditeerde managers
Alle vijf managers die in de pijlertabel van deze site worden vergeleken — Bitwarden, 1Password, Proton Pass, NordPass, KeePassXC — passen origin-gebonden automatisch invullen toe. Bitwarden en 1Password vereisen een expliciete gebruikersactie om automatisch in te vullen (op het veld klikken en dan invullen); ze vullen niet in bij het laden van de pagina. Dit beschermt tegen injectieaanvallen met een onzichtbare iframe, waarbij een kwaadaardige pagina een verborgen inlogformulier voor een waardevolle origin insluit. Oudere versies van sommige concurrenten vulden wél in bij het laden van de pagina, wat kwetsbaar was; dat patroon is inmiddels zeldzaam onder geauditeerde managers.
Praktijken die de phishingbestendigheid in de praktijk verbeteren
(1) Gebruik het automatisch invullen van de browserextensie, niet kopiëren en plakken. (2) Als de extensie geen inloggegevens aanbiedt, beschouw dat dan als een signaal om de URL te controleren voordat je iets anders doet. (3) Schakel 2FA in op elk account dat dit ondersteunt — zelfs als een wachtwoord uitlekt, blokkeert de tweede factor het inloggen. (4) Stap over op passkeys (FIDO2 / WebAuthn) op elke site die ze ondersteunt; passkeys zijn op protocolniveau aan de origin gebonden en kunnen niet worden gephisht, zelfs niet bij een handmatige fout van de gebruiker. Bitwarden, 1Password en Proton Pass slaan passkeys in 2026 allemaal op en vullen ze automatisch in.
Bronnen
Automatisch invullen van Bitwarden: bitwarden.com/help/auto-fill-browser. Automatisch invullen van 1Password: 1password.com/features. Automatisch invullen van Proton Pass: proton.me/pass. WebAuthn- / passkeys-specificatie: w3.org/TR/webauthn-3. Alle URL's geraadpleegd op 2026-04-30.