Eso depende de si estás buscando seguridad o complacer a un auditor.
Si habilita el autocompletado para el nombre de usuario y la contraseña, se mantendrán registrados en el navegador del usuario. Eso significa que el usuario no tendrá que recordarlo o almacenarlo en un lugar de fácil acceso, lo que significa que realmente tendrá la oportunidad de elegir una contraseña segura. (Tiene una mejor oportunidad si puede imponer la contraseña).
Si desactivas la función Autocompletar y el navegador respeta esta configuración, el usuario tendrá que escribir su contraseña nuevamente cada vez. Por lo tanto, elegirán uno que sea fácil de recordar y escribir. Si logra imponer una contraseña segura, la almacenarán en un lugar de fácil acceso para copiar y pegar. Una contraseña en un archivo de texto aleatorio que puede copiarse accidentalmente, que se puede pegar por error en un lugar público (barra de URL, correo electrónico, ...), es un riesgo mucho mayor que una contraseña almacenada en el almacén de contraseñas del navegador.
Puede encontrar el argumento de que si el usuario está usando un navegador compartido, está dejando las credenciales para la siguiente persona que use ese navegador. Este argumento es falso: incluso si el navegador acepta autocompletar = desactivado, están dejando la contraseña a cualquier keylogger que pase.
Creo que los navegadores móviles tienden a ignorar el autocompletado = apagado, debido a una combinación de teclados incómodos, la falta de disponibilidad de notas post-it en movimiento y la expectativa de un UX suave.
Un caso específico en el que debe desactivar el autocompletar lo más detalladamente posible es una tarjeta de crédito CCV. Tal vez incluso el número de la tarjeta mientras lo hace, pero si lo hace, guárdelo en el lado del servidor y no permita que se muestre en su totalidad (aunque esto es no es una panacea ).
Sin embargo, asegúrese de desactivar la corrección automática de contraseñas. No desea que una contraseña se corrija a una palabra en el diccionario del dispositivo móvil, o que se agregue al diccionario cuando el usuario rescinda la autocorrección.