La opción 'mostrar contraseña' es una función diseñada para una mejor experiencia de usuario. Esto comenzó a popularizarse con el reciente aumento en el número de dispositivos móviles. Los teclados pequeños en pantalla son muy difíciles de escribir, y cuando no puede ver su entrada, puede ser difícil asegurarse de que la contraseña se haya escrito correctamente.
No estoy seguro de ningún ataque que se dirija a campos de contraseña legibles. En mi opinión, si tiene un programa malicioso en su computadora que puede ver su pantalla, entonces es muy probable que también estén capturando sus pulsaciones de teclas.
¿Es un riesgo? Sí. Este nunca debe ser el comportamiento predeterminado, pero si un usuario siente que está cómodo mostrando su contraseña (seguro en su entorno físico), no veo ningún problema con esta práctica.
Esto es solo mi opinión, no una regla.