C'è un punto chiave che è stato appena toccato qui, e indirizzato un po 'di più nel thread UX che hai linkato, che vorrei evidenziare.
Il campo di conferma della password, da solo, non ha alcuno scopo di sicurezza . Tuttavia, funge da supplemento usabilità per facilitare il mal di testa che potrebbe essere causato da qualcosa che è una funzione di sicurezza.
Il motivo per cui gli utenti confermano le loro password è perché non possono vedere la loro password sullo schermo quando la inseriscono. Il motivo per cui non permettiamo loro di vedere la password sullo schermo è di impedire che i navigatori su spalla, le telecamere di sicurezza, gli utenti desktop condivisi e gli strumenti di cattura dello schermo non visualizzino la password.
Se il campo della password dovesse rimanere smascherato, sarebbe ragionevole fare a meno della conferma della password. Puoi già vederlo in azione in alcune applicazioni (KeePass è un exampe) che ti permette di mascherare / smascherare selettivamente il campo della password. In queste applicazioni, il campo di conferma della password è abilitato solo quando la password è mascherata.
Lo scopo della finestra di dialogo di conferma della password è come un controllo di integrità per l'utente. Non ci si può fidare che gli utenti inseriscano la loro password senza errori il 100% delle volte, e molto meno quando non possono verificare visivamente la password prima dell'invio. Tuttavia, è molto improbabile che un utente "finger-finger" la propria password nello stesso modo due volte di seguito. Ciò consente a un utente di essere relativamente sicuro che sta impostando la password su ciò che pensa di essere, senza dover compromettere la sicurezza visualizzandola sullo schermo.
Naturalmente, dovrebbe essere chiaro che questo è necessario solo nella fase di registrazione. Questo perché hai solo una possibilità, durante l'installazione, di impostare la tua password prima di esserti impegnata. Al momento del login, si ottengono più tentativi. Un errore una tantum al login è molto meno costoso di quello che sarebbe (senza il campo di conferma) al momento della registrazione.