ユーザーがパスワードフィールドでパスワードを公開できるのはどのブラウザーですか？

入力でのパスワードの開示を許可しないことがベストプラクティスです。

確かではありません。 Jakob Nielsenがパスワードをまったくマスクしないケースを提示 （彼を強調）：

ユーザーがパスワードを入力するのを難しくすると、2つの問題が発生します— 1つは実際にセキュリティを低下させます。

• ユーザーは、フォームの入力中に入力している内容が表示されない場合、エラーが多くなります。したがって、自信が減ります。ユーザーエクスペリエンスのこの2つの低下は、人々がサイトをあきらめ、まったくログインしない可能性が高く、ビジネスの喪失につながることを意味します。 （または、イントラネットの場合、サポートコールの増加。）
• ユーザーがパスワードの入力について不確実性を感じるほど、（a）非常に単純なパスワードや（b）を使用する可能性が高くなりますコンピューター上のファイルからのパスワード。どちらの動作も、セキュリティの真の損失につながります。

この記事には その中傷者 がないわけではありません（ここに 提案のセキュリティへの影響に関する優れた詳細な分析 ）。

特定の質問に答えるために、OS Xのすべてのブラウザーでは、理論的にはユーザーのパスワードを（キーチェーンアクセスユーティリティを介して）プレーンテキストで表示できますが、ブラウザー内では表示できません。 Show Password と呼ばれるFirefoxアドオン、Chromeと呼ばれる拡張機能 HTML RevealerとPassword Revealer と呼ばれ、Safari拡張機能と呼ばれます- ShowPass すべて同じ機能を独自の方法でエミュレートするように設計されています。

security.stackexchange でこの質問をすると、答えは明確になります-パスワードを明かさないでください。これは、一連の指示ではなく、忘れられたパスワードおよび プレーンテキストのパスワードを電子メールで送信される をクリックするという慣習に似ています。それをリセットすると。ユーザーがこのUXに不満を感じるかもしれませんが（なぜ今自分のパスワードが表示されないのですか？パスワードをリセットする必要があるのはなぜですか？） 、セキュリティのベストプラクティスがより重要です。

ちなみに、DOM（ドキュメントオブジェクトモデル、ページhtmlのブラウザー内表現）の変更可能な性質により、どのブラウザーでもパスワードを明らかにすることができます。 Chromeが私よりもメモリが優れている場合は常にこれを何度も使用しています（通常、「ユーザーストーリー」は別のデバイスからログインする必要があり、覚えていないということです）これをテストするには、以下のoffice365のように、ブラウザが認証情報を保存するログインページに移動します。

パスワードアスタリスクが表示される前に、ユーザー名の入力が必要になる場合があります。今inspectパスワードフィールド（ほとんどのブラウザでは、右クリック->要素の検査を介して実行されます） ）。 type="password"属性を削除すると、パスワードフィールドはデフォルトでバニラテキスト入力になり、フィールドの値がクリアテキストで表示されます。私はそれを追加していませんスクリーンショット:)

Chromeは、直接ではありませんが、設定›パスワードとフォーム›保存されたパスワードの管理を通じてパスワードを開示します。よく覚えていますが、Firefoxにも同じ機能があります。したがって、すべての場合において、自分のデスクを誰かに任せたユーザーは、パスワードの盗難の危険にさらされます。ブラウザーはマスターパスワードを要求しないので、どこかにプレーンテキストを保持することを意味し、リスクがあります。

UXのベストプラクティスは、ほとんどの場合、画面を見ることができる近くの誰かからパスワードを隠すことに関連しています（これは、公共の場所にある監視カメラにもなります）。これは、Windowsの星にXP以前およびWindows Vista以降の円に、またはLinuxコンソールにまったく表示されない文字に変換されます（つまり、長さがわからないことも意味します）どちらも）。

明らかにすることに関して、私が見ることができるセキュリティに関連する唯一のUXの懸念は人が誤ってパスワードを明らかにすることを避ける、またはそれを明らかにしておくことです。そのため、Windows 8では、目のアイコンは単純なパスワードと丸の間で切り替わりませんが、パスワードはマウスダウンイベントでのみ表示され、ユーザーがマウスボタンを離すと再び非表示になります。