Auto-Fill: Komfort mit Verantwortung

Auto-Fill erkennt Login-Formulare auf Webseiten oder in Apps und füllt Benutzername und Passwort automatisch ein. Welche Daten verwendet werden, entscheidet der Manager anhand der erkannten Domain bzw. App-Kennung.

Die Qualität dieses Domain-Matchings unterscheidet sich von Anbieter zu Anbieter und hängt auch von Ihren Einstellungen ab.

Ein Passwortmanager, der zu großzügig ausfüllt, kann Logins ungewollt an ähnliche oder falsche Domains weitergeben und damit Phishing erleichtern statt erschweren.

Gleichzeitig ist Auto-Fill genau die Funktion, die Nutzerinnen und Nutzer dazu bringt, überhaupt einzigartige und lange Passwörter zu verwenden. Es einfach abzuschalten ist deshalb keine gute Idee.

• Auto-Fill auf falschen Domains durch unscharfe URL-Matching-Regeln
• Versehentliches Ausfüllen in Phishing-Tabs, die im Hintergrund laufen
• Clickjacking-Angriffe auf unsichtbare Iframes
• Mobile Apps, die sich als legitime App ausgeben und so Auto-Fill auslösen

• Auto-Fill nur auf Klick aktivieren, nicht automatisch beim Laden der Seite
• Strenges URL-Matching wählen (exakte Domain statt "Base Domain")
• Browser-Erweiterungen aktuell halten und Berechtigungen regelmäßig prüfen
• Auf Mobilgeräten Auto-Fill an Biometrie oder PIN koppeln

• "Wenn Auto-Fill nichts vorschlägt, ist die Seite sicher" - es kann auch ein Konfigurationsproblem sein
• "Auto-Fill ist immer ein Risiko" - richtig konfiguriert reduziert es Phishing deutlich
• "Browser-Auto-Fill und Manager-Auto-Fill sind dasselbe" - die Schutzmechanismen unterscheiden sich erheblich

Auto-Fill bleibt eine zentrale Komfortfunktion und ist in der Praxis ein wirksamer Phishing-Schutz, wenn Sie es bewusst konfigurieren und nur per Klick auslösen lassen.