Autenticidade de prompts de senha

2

Este artigo em osxdaily.com discute um problema no Mavericks e no Yosemite, onde o usuário é solicitado a fornecer senhas "em horários aleatórios".

No artigo, o seguinte é reivindicado.

[O cenário em que um invasor solicita sua senha] pode ser muito improvável, mas é uma boa prática não confiar em prompts de senha aleatórios, independentemente de onde eles vierem.

Eu acho que essa afirmação faz muito sentido, mesmo que talvez encubra os detalhes. Para mim, parece estranho que o tempo de um prompt seja importante: Se você estiver fazendo coisas do icloud e for solicitado a fornecer uma senha, você pode pensar que está tudo bem, mas se for solicitado em uma "hora aleatória", pode ficar desconfiado. Acho que essa é uma boa mentalidade do ponto de vista prático, mas acho que isso provavelmente não corresponde ao modelo de segurança que os desenvolvedores tinham em mente.

Minha hipótese é que nenhum aplicativo deve ser capaz de gerar um prompt com um "ícone oficial" na área superior esquerda, como o bloqueio, ou o ícone do icloud.

lock enter image description here

Não estou muito preocupado em verificar a autenticidade de uma solicitação de um navegador (mencionada no artigo), pois tenho certeza de que reconheço essas solicitações. Qualquer ícone pode ser incorporado em um site, mas pode-se descobrir que o ícone / prompt faz parte do site. Minha principal preocupação é um invasor que já tenha acesso ao seu computador, mas não privilégios de administrador.

Minha pergunta é: existe alguma maneira prática de um usuário saber que um prompt de senha é autêntico? Alguém deveria confiar nesses ícones?


Relacionado

este Perguntas e respostas no superusuário pede métodos para verificar a validade de qualquer janela de forma programática, mas estou procurando algo mais prático.

Solicitação de senha do ICloud (possível duplicata)

Vicky
fonte
O outro não é uma duplicata apenas perguntando em um caso - isso é mais geral
Mark
Possível duplicata de Caixa de diálogo de solicitação de senha
Max Ried
@MaxRied Sua resposta no Q & amp; Um link para você é interessante. Devo interpretar isso como um "não" definitivo para minha pergunta sobre se podemos confiar nesses ícones?
Vicky
@MaxRied Eu também estaria interessado em saber se você sabe se existe uma "chave de atenção segura" para o mac (já que você fez uma pergunta sobre isso (que pode ser encontrado seguindo dois links daqui))
Vicky
Você não pode confiar em uma imagem como uma indicação definitiva. Não há sak até onde eu sei.
Max Ried