HTML Entrada de texto de tipo para contraseñas

Esto es una vulnerabilidad. Si los usuarios tienen JavaScript deshabilitado, sus contraseñas no se cambiarán a puntos y, por lo tanto, son vulnerables a la navegación por los hombros.

Como el usuario @Question Overflow señala en su comentario a su pregunta, al hacer clic fuera del campo también se mostrará la contraseña. Lo que significa que un compañero de trabajo puede ver la contraseña del usuario tomando su mouse por un momento, incluso accidentalmente.

El sitio puede seguir las instrucciones del artículo " Detener el enmascaramiento de contraseña ", publicado por Jakob Nielsen el 23 de junio de 2009.

  

Resumen: La usabilidad sufre cuando los usuarios ingresan contraseñas y la única información que obtienen es una fila de viñetas. Normalmente, el enmascaramiento de las contraseñas no aumenta la seguridad, pero le cuesta a la empresa debido a fallas en el inicio de sesión.

El enmascaramiento de contraseñas aborda el ataque de navegación por el hombro a un costo sustancial de uso, especialmente entre usuarios no técnicos que no usan un administrador de contraseñas. Es posible que el sitio haya sopesado el riesgo de navegar por los hombros en comparación con otros ataques a las credenciales de los usuarios y haya considerado que no vale la pena perder la usabilidad. He visto algunos otros sitios que utilizan un control de JavaScript para alternar el atributo type del campo de la contraseña entre "password" y "text" , lo que permite al usuario hacer su propia compensación entre la usabilidad y la seguridad frente a la navegación de hombro.

El sitio en cuestión se describe como no bastante siguiendo este consejo. Quizás los ingenieros siguieron este consejo, pero luego la gerencia solicitó que se cambiara. O quizás intentaron emular el comportamiento de los dispositivos móviles que muestran brevemente el último carácter ingresado en los campos de contraseña.