Este artículo en osxdaily.com analiza un problema en Mavericks y Yosemite donde se le solicitan al usuario las contraseñas "en momentos aleatorios".
En el artículo, se afirma lo siguiente.
[El escenario en el que un atacante le solicita su contraseña] puede ser muy poco probable, pero es una buena práctica no confiar en las solicitudes de contraseña aleatorias, independientemente de dónde provengan.
Creo que esta afirmación tiene mucho sentido, incluso si tal vez pasa por alto los detalles. A mí me parece extraño que el tiempo de una solicitud sea importante: si estás haciendo cosas de iCloud y te piden una contraseña, puedes pensar que está bien, pero si te lo piden en un "momento aleatorio" puedes ser sospechoso. Creo que esta es una buena mentalidad desde un punto de vista práctico, pero creo que probablemente no se corresponde con el modelo de seguridad que los desarrolladores tenían en mente.
Mi hipótesis es que ninguna aplicación debería poder generar un aviso con un "icono oficial" en el área superior izquierda, como el bloqueo, o el icono de icloud.
No me preocupa demasiado verificar la autenticidad de un aviso desde un navegador (que se menciona en el artículo), ya que estoy seguro de que reconozco dichos avisos. Cualquier icono se puede incrustar en un sitio web, pero uno puede descubrir que el icono / indicador es parte del sitio web. Mi principal preocupación es un atacante que ya tenga acceso a su computadora, pero no privilegios de administrador.
Mi pregunta es: ¿existe alguna forma práctica para que un usuario sepa que una solicitud de contraseña es auténtica? ¿Debería uno confiar en estos iconos?
Relacionado
Este P & A en el superusuario solicita métodos para verificar la validez de cualquier ventana de manera programática, pero estoy buscando Para algo más práctico.
Solicitud de contraseña de ICloud (posible duplicado)