Diese Seite demonstriert einen möglichen Angriff über user.tu-berlin.de. Da die Second-Level-Domain mit der des SSO-Dienstes (shibboleth.tubit.tu-berlin.de) übereinstimmt, werden die Zugangsdaten von einigen gängigen Passwortmanagern automatisch ausgefüllt.
ISIS-Kurs: https://isis.tu-beriln.de/course/view.php?id=35625
PDF: https://www.user.tu-berlin.de/eintyp/fileadmin/?dir=/AllgStuPO_deu.pdf
Eine Variante wäre, die Userseiten über user.tu.berlin zu hosten. Das ist natürlich nicht optimal, aber würde zumindest Passwortmanager vom Autofill abhalten.