Los dos comportamientos más comunes que veo en los campos de entrada de contraseña son:
- Para cada carácter escrito, se muestra un asterisco en el campo de entrada de la contraseña.
- No mostrar nada en absoluto en el campo de entrada.
El enfoque de no mostrar nada en absoluto en el campo de entrada puede ser un riesgo porque significa que si el enfoque está en otra parte, el usuario puede sin saberlo escribir su contraseña en un lugar donde no debería haber estado.
Sé que mostrar los caracteres de asterisco hace que sea más fácil para una persona que practica surf de hombros descubrir cuánto tiempo está usando una contraseña. Pero para mí eso suena como un argumento muy débil. Si la contraseña es lo suficientemente corta para que importe, sería débil incluso si el adversario no sabe la longitud de la contraseña.
¿Hay otros argumentos de seguridad a favor de no tener comentarios en el campo de entrada de contraseña?