I due comportamenti più comuni che vedo nei campi di immissione della password sono:
- Per ciascun carattere digitato, visualizza un asterisco nel campo di immissione della password.
- Mostra nulla nel campo di inserimento.
L'approccio di non visualizzare nulla nel campo di immissione può essere un rischio perché significa che se lo stato attivo è da qualche altra parte, l'utente può digitare la propria password in un posto in cui non avrebbe dovuto essere inconsapevolmente.
So che la visualizzazione dei caratteri dell'asterisco rende più facile per un navigatore sulla spalla capire per quanto tempo una password si sta utilizzando. Ma a me sembra una discussione molto debole. Se la password è abbastanza breve perché ciò sia importante, sarebbe debole anche se l'avversario non conosce la lunghezza della password.
Ci sono altri argomenti di sicurezza a favore di non avere feedback nel campo di inserimento della password?