Este artigo em osxdaily.com discute um problema no Mavericks e no Yosemite, onde o usuário é solicitado a fornecer senhas "em horários aleatórios".
No artigo, o seguinte é reivindicado.
[O cenário em que um invasor solicita sua senha] pode ser muito improvável, mas é uma boa prática não confiar em prompts de senha aleatórios, independentemente de onde eles vierem.
Eu acho que essa afirmação faz muito sentido, mesmo que talvez encubra os detalhes. Para mim, parece estranho que o tempo de um prompt seja importante: Se você estiver fazendo coisas do icloud e for solicitado a fornecer uma senha, você pode pensar que está tudo bem, mas se for solicitado em uma "hora aleatória", pode ficar desconfiado. Acho que essa é uma boa mentalidade do ponto de vista prático, mas acho que isso provavelmente não corresponde ao modelo de segurança que os desenvolvedores tinham em mente.
Minha hipótese é que nenhum aplicativo deve ser capaz de gerar um prompt com um "ícone oficial" na área superior esquerda, como o bloqueio, ou o ícone do icloud.
Não estou muito preocupado em verificar a autenticidade de uma solicitação de um navegador (mencionada no artigo), pois tenho certeza de que reconheço essas solicitações. Qualquer ícone pode ser incorporado em um site, mas pode-se descobrir que o ícone / prompt faz parte do site. Minha principal preocupação é um invasor que já tenha acesso ao seu computador, mas não privilégios de administrador.
Minha pergunta é: existe alguma maneira prática de um usuário saber que um prompt de senha é autêntico? Alguém deveria confiar nesses ícones?
Relacionado
este Perguntas e respostas no superusuário pede métodos para verificar a validade de qualquer janela de forma programática, mas estou procurando algo mais prático.
Solicitação de senha do ICloud (possível duplicata)