Da li je automatsko popunjavanje menadžera lozinki bezbedno? Odbrana od phishinga koju većina korisnika ne shvata da ima
Automatsko popunjavanje najjača je odlika menadžera lozinki protiv phishinga: menadžeri odbijaju automatsko popunjavanje na pogrešnom domenu. Evo kako ga bezbedno koristiti i obrasci koji poništavaju zaštitu.
Zašto je automatsko popunjavanje protiv phishinga
Moderni menadžeri lozinki čuvaju akreditive vezane za poreklo (domen + šema + port). Kada menadžer automatski popunjava, proverava da li trenutno poreklo tačno odgovara sačuvanom poreklu. Phishing sajt na sličnom domenu (g00gle-login.com) neće odgovarati accounts.google.com, pa menadžer neće automatski popuniti. Prvi korisnikov signal da nešto nije u redu jeste da se akreditivi koje očekuje da se automatski popune ne pojavljuju. To je jači signal protiv phishinga od vizuelne provere URL-a jer ljudi propuštaju suptilne zamene znakova i homografske napade; menadžer ne propušta.
Kako korisnici poništavaju zaštitu
Zaštita deluje samo kada korisnik veruje ponašanju menadžera. Dva obrasca je poništavaju. (1) Ručno kopiranje i lepljenje: ako automatsko popunjavanje ne radi, korisnik kopira lozinku iz interfejsa trezora menadžera i lepi je u phishing obrazac. Provera porekla se zaobilazi. (2) Ručno premošćavanje: većina menadžera nudi interfejs „upotrebi akreditive sa drugog sajta” za korisnike koji menjaju domene (dobavljač preimenuje svoj sajt itd.). Phishing stranice koje liče na poznat sajt mogu navesti korisnika da upotrebi taj tok premošćavanja menadžera. Rešenje je da se odbijanje automatskog popunjavanja menadžera shvati kao signal za zaustavljanje i da se URL proveri pre bilo kakvog ručnog premošćavanja.
Arhitektonske odbrane kod revidiranih menadžera
Svih pet menadžera upoređenih u stubnoj tabeli ove stranice — Bitwarden, 1Password, Proton Pass, NordPass, KeePassXC — implementira automatsko popunjavanje vezano za poreklo. Bitwarden i 1Password zahtevaju izričitu korisničku radnju za automatsko popunjavanje (kliknite polje, zatim popuni); ne popunjavaju automatski pri učitavanju stranice. To štiti od napada ubacivanja nevidljivog iframea u kojima zlonamerna stranica ugrađuje skriveni obrazac za prijavu za poreklo visoke vrednosti. Starije verzije nekih konkurenata jesu automatski popunjavale pri učitavanju stranice, što je bilo ranjivo; taj je obrazac sada redak kod revidiranih menadžera.
Prakse koje poboljšavaju stvarnu otpornost na phishing
(1) Koristite automatsko popunjavanje proširenja pregledača, a ne kopiranje i lepljenje. (2) Ako proširenje ne nudi akreditive, shvatite to kao signal da proverite URL pre nego što uradite bilo šta drugo. (3) Omogućite 2FA na svakom nalogu koji ga podržava — čak i ako lozinka procuri, drugi faktor blokira prijavu. (4) Pređite na pristupne ključeve (FIDO2 / WebAuthn) na svakom sajtu koji ih podržava; pristupni ključevi vezani su za poreklo na nivou protokola i ne mogu biti izloženi phishingu čak ni uz ručnu korisničku grešku. Bitwarden, 1Password i Proton Pass 2026. svi čuvaju i automatski popunjavaju pristupne ključeve.
Izvori
Bitwarden automatsko popunjavanje: bitwarden.com/help/auto-fill-browser. 1Password automatsko popunjavanje: 1password.com/features. Proton Pass automatsko popunjavanje: proton.me/pass. WebAuthn / pristupni ključevi specifikacija: w3.org/TR/webauthn-3. Svi URL-ovi pristupljeni 2026-04-30.