La quantità di sicurezza ottenuta da tale pratica è molto piccola. Alcuni prompt di accesso di Linux non mostrano ciò che è o quanto è in un campo password. Per un nome utente, non mostrare quali caratteri, ma quanti sono stati inseriti è quasi inutile. In una email ufficiale probabilmente pubblicheranno il tuo nome utente e faranno la stessa cosa su carta.
Come accennato in altre risposte, una tale pratica di rendere il campo nome utente un campo password può aiutare solo con la navigazione a spalla. L '"attaccante" è ancora a conoscenza del numero di caratteri del tuo nome utente e, se hanno accesso alla memoria del browser, potrebbero potenzialmente ottenere l'accesso sia al nome utente che alla password.
A meno che il nome utente non sia hash / crittografato / offuscato e tu intendi fare operazioni bancarie in un luogo pubblico, questa pratica è molto "sicurezza per lo spettacolo".