Este pensamiento se me acaba de ocurrir. Si está utilizando un cliente no oficial para acceder a un servicio (por ejemplo, BaconReader para reddit), ¿cómo puede estar seguro de que su información de inicio de sesión no está siendo robada?
No puedes, que es uno de los grandes problemas con la autenticación basada en contraseña para aplicaciones móviles.
Reddit también ofrece y recomienda encarecidamente el uso de OAuth. Puede leer más sobre OAuth en otra parte, pero el resumen es que cada aplicación individual tiene su propio token para autenticarse en su cuenta. Esto significa que puede revocar el acceso para una aplicación sin necesidad de cambiar su contraseña para el sitio web u otras aplicaciones. En muchas implementaciones de OAuth, también puede especificar un conjunto restringido de permisos para cada token, por lo que puede limitar la aplicación para que haga cosas que no sean las que espera.
Sin embargo, muchas aplicaciones reddit han implementado el flujo de OAuth de una manera que aún les permite rastrear su contraseña. El flujo implica enviar al usuario a reddit.com, donde autorizan la aplicación y se redirigen a la aplicación. La forma menos perturbadora de hacer esto es utilizar una vista web dentro de la aplicación, pero ¡entonces el usuario todavía está ingresando su contraseña en la aplicación!
No puedes. Si está utilizando una aplicación de terceros no oficial, y no tiene forma de confiar en ella, no puede estar seguro de que no se está robando su información de inicio de sesión.