Quando le credenziali sono errate, il server ti rimanda a una pagina contenente il nome utente compilato e forse anche la password. Questo dovrebbe essere fatto con https, e le intestazioni di cache che chiedono di non memorizzarlo, ma c'è la possibilità che la pagina di errore che è stata inviata con la password fornita nella sorgente sia memorizzata da qualche parte (cache del browser, un intermedio proxy ...).
Quando c'è un accesso asincrono, la pagina stessa non viene ricaricata e quindi questo problema non si verifica.
Con un modulo di accesso, ti viene quasi sempre richiesto di oscurare la password, poiché l'utente dovrà ridigitarlo comunque poiché è sbagliato (ed è improbabile sapere quale è stato il suo errore di battitura).
Il dibattito sull'opportunità di inserire o meno il campo della password di solito sorge quando si ha a che fare con il modulo di registrazione. In questo caso è probabile che un campo non correlato venga rifiutato (ad esempio, nome utente acquisito) e l'utente deve fornire un nuovo nome utente (che potrebbe non essere disponibile) e la password e la conferma della password. Questo rende una UI sgradevole. E lì ci sono opinioni diverse su cui dovrebbe vino.