A është i sigurt plotësimi automatik i menaxherit të fjalëkalimeve? Mbrojtja ndaj phishing-ut që shumica e përdoruesve nuk e kuptojnë se e kanë
Plotësimi automatik është funksioni më i fortë kundër phishing-ut i menaxherit të fjalëkalimeve: menaxherët refuzojnë të plotësojnë automatikisht në domenin e gabuar. Ja si ta përdorni në mënyrë të sigurt dhe modelet që e mposhtin mbrojtjen.
Pse plotësimi automatik është kundër phishing-ut
Menaxherët modernë të fjalëkalimeve i ruajnë kredencialet të lidhura me një origjinë (domeni + skema + porti). Kur menaxheri plotëson automatikisht, kontrollon që origjina aktuale të përputhet saktësisht me origjinën e ruajtur. Një sajt phishing në një domen që duket i ngjashëm (g00gle-login.com) nuk do të përputhet me accounts.google.com, kështu që menaxheri nuk do të plotësojë automatikisht. Sinjali i parë i përdoruesit se diçka nuk shkon është që kredencialet që pret të plotësohen automatikisht nuk shfaqen. Ky është një sinjal kundër phishing-ut më i fortë se inspektimi vizual i URL-së, sepse njerëzit nuk i vërejnë zëvendësimet delikate të karaktereve dhe sulmet homografike; menaxheri po.
Si e mposhtin përdoruesit mbrojtjen
Mbrojtja funksionon vetëm kur përdoruesi i beson sjelljes së menaxherit. Dy modele e mposhtin atë. (1) Kopjim-ngjitja manuale: nëse plotësimi automatik nuk funksionon, përdoruesi e kopjon fjalëkalimin nga ndërfaqja e kasafortës së menaxherit dhe e ngjit në formularin e phishing-ut. Kontrolli i origjinës anashkalohet. (2) Anashkalimi manual: shumica e menaxherëve ofrojnë një ndërfaqe 'përdor kredencialet nga një sajt tjetër' për përdoruesit që ndërrojnë domene (një shitës e riemërton sajtin e tij, etj.). Faqet e phishing-ut që i ngjajnë një sajti të njohur mund ta nxisin përdoruesin të përdorë rrjedhën e anashkalimit të menaxherit. Zgjidhja është ta merrni refuzimin e menaxherit për të plotësuar automatikisht si sinjal ndalimi dhe ta verifikoni URL-në para çdo anashkalimi manual.
Mbrojtjet arkitekturore te menaxherët e audituar
Të pesë menaxherët e krahasuar në tabelën pillar të këtij sajti — Bitwarden, 1Password, Proton Pass, NordPass, KeePassXC — zbatojnë plotësim automatik të lidhur me origjinën. Bitwarden dhe 1Password kërkojnë veprim eksplicit të përdoruesit për të plotësuar automatikisht (klikoni fushën, pastaj plotësoni); ato nuk plotësojnë automatikisht në ngarkimin e faqes. Kjo mbron ndaj sulmeve të injektimit me iframe të padukshëm, ku një faqe keqdashëse fut një formular hyrjeje të fshehur për një origjinë me vlerë të lartë. Versionet më të vjetra të disa konkurrentëve plotësonin automatikisht në ngarkimin e faqes, gjë që ishte e cenueshme; ai model është tani i rrallë te menaxherët e audituar.
Praktikat që përmirësojnë rezistencën reale ndaj phishing-ut
(1) Përdorni plotësimin automatik të zgjerimit të shfletuesit, jo kopjim-ngjitjen. (2) Nëse zgjerimi nuk ofron kredenciale, trajtojeni atë si sinjal për ta verifikuar URL-në para se të bëni çdo gjë tjetër. (3) Aktivizoni 2FA në çdo llogari që e mbështet — edhe nëse rrjedh një fjalëkalim, faktori i dytë e bllokon hyrjen. (4) Kaloni te passkey-të (FIDO2 / WebAuthn) në çdo sajt që i mbështet; passkey-të janë të lidhura me origjinën në shtresën e protokollit dhe nuk mund të nënshtrohen phishing-ut edhe me një gabim manual të përdoruesit. Bitwarden, 1Password dhe Proton Pass i ruajnë dhe i plotësojnë automatikisht passkey-të të gjithë në 2026.
Burimet
Plotësimi automatik i Bitwarden: bitwarden.com/help/auto-fill-browser. Plotësimi automatik i 1Password: 1password.com/features. Plotësimi automatik i Proton Pass: proton.me/pass. Specifikimi WebAuthn / passkeys: w3.org/TR/webauthn-3. Të gjitha URL-të u aksesuan më 2026-04-30.