He encontrado algunos sitios (pero no muchos, enlace me hicieron pensar en esto) que convierten los campos de credenciales en una contraseña campos que no eran campos enmascarados (por ejemplo, campo de nombre de usuario) antes de transmitir (por ejemplo, usar javascript). ¿Cuál es el beneficio de esto?
El único beneficio es que, presumiblemente, el campo de nombre de usuario ya no es claramente visible en el navegador. Eso podría ayudar a prevenir el surf de hombro, aunque me parece un tramo.
No puedo pensar en ningún otro beneficio potencial.
La cantidad de seguridad obtenida de tal práctica es muy pequeña. Algunas indicaciones de inicio de sesión de Linux no muestran qué es o cuánto hay en un campo de contraseña. Para un nombre de usuario, no mostrar qué caracteres, pero cuántos han sido ingresados es casi inútil. En un correo electrónico oficial es probable que den su nombre de usuario en forma clara y hagan lo mismo en papel.
Como se mencionó en otras respuestas, esta práctica de convertir el campo de nombre de usuario en un campo de contraseña puede ayudar solo con la navegación de hombro. El "atacante" aún es consciente de cuántos caracteres tiene su nombre de usuario y, si tuvieran acceso a la memoria del navegador, podrían obtener acceso tanto al nombre de usuario como a la contraseña.
A menos que el nombre de usuario también esté encriptado / encriptado / ofuscado, y tenga la intención de hacer operaciones bancarias en un lugar público, esta práctica es muy "segura para el espectáculo".
Editar Hay algunas herramientas que pueden obtener capturas de pantalla y enviarlas desde la PC del usuario en caso de que la captura de pantalla sea inútil ya que la información se encuentra en los cuadros de texto ocultos.
Si hay un requisito especial para tal cosa, puede hacerlo, pero recuerde que hay una opción de máscara / desenmascarar que viene con el cuadro de texto de la contraseña también para una mayor facilidad de uso.
Lea otras preguntas en las etiquetas web-application authentication javascript