@@M.:

nuqneH

Die Verschleierung des Passworts sollte erst auf ausdrücklichen Wunsch des Nutzers geschehen. 'type="text"' als Default, Button oder Checkbox zum Wechsel auf 'type="password"' (und zurück).

Juchu, Und jeder, der unbemerkt hinter dir steht, kann dein Passwort mitlesen.

Den Fall, dass jemand, der mir Böses will, sich zufällig auch noch just in dem Moment unbemerkt von hinten anschleicht, in dem ich ein Passwort eingebe, scheint mir jetzt sehr weit hergeholt.

Ich sehe 3 Fälle:

1. Mobiles Gerät. Bei Eingabe über Tastatur werden die Zeichen kurz angezeigt – auf dem iPhone sogar in groß. Jeder, der über die Schulter schaut, kann sowieso das Passwort mitlesen; die Verschleierung macht überhaupt keinen Sinn. (Aufgrund der Größe des Gerätes und der Art, wie man es hält, ist es aber unwahrscheinlich, dass jemand unbemerkt über die Schulter schauen kann.)

2. Desktop, private Nutzung. Passwortanzeige im Klartext unproblematisch.

3. Desktop, im Büro, Internetcafé etc. Nutzer ist sich der Umgebung bewusst. Spätestens beim zweiten eingegebenen Zeichen sollte ihm klar sein, dass es besser wäre, das Passwort nicht im Klartext anzeigen zu lassen; er schaltet um und gibt die restlichen Zeichen blind ein. (Dass Passwörter deutlich länger als 2 Zeichen sein sollten, darüber müssen wir uns wohl nicht unterhalten.)

In Fall 1 und 2 ist die Voreinstellung Passwortanzeige als Klartext vorteilhaft, in Fall 3 auch nicht wirklich problematisch.

Was aber sicher sinnvoll ist, ist die vom Nutzer gewünschte Art der Passwortanzeige im LocalStorage (oder Cookie) festzuhalten und beim nächsten Besuch der Seite wieder so anzubieten.

Qapla'