Hi Dirk et al,

die Meinung, dass man Klartextanzeige des Passwortes immer als opt-in und nicht als opt-out anbieten sollte, kam schon von einigen anderen im Thread - da schliesse ich mich an.
Mensch ist ein Gewohnheitstier, und bei der erwähnten Präsentation am Beamer vergesse ich dann bestimmt dieses Feature abzuschalten, wenn es per Default an ist - weil es nach einem anfänglichen Aha-Effekt bis dahin bestimmt schon so sehr zur Gewohnheit geworden ist, dass ich es nicht mehr explizit wahrnehme. (Mein initiales opt-out bei erstmaliger Nutzung der Seite in einem Cookie zu speichern, wäre auch keine Alternative - wenn ich bei der Präsentation überhaupt meinen eigenen Browser nutze, dann sorgt Murphy garantiert dafür, dass genau fünf Minuten vorher der Cookie abgelaufen ist.)

Wenn überhaupt, dann würde ich als Nutzer eine Option begrüssen, die mir die Anzeige des kompletten Passwortes im Klartext ermöglicht - und auch diese wohl vor allem während eines Registrierungsvorgangs nutzen. Das jeweils letzte Zeichen im Klartext anzuzeigen wie beim iPhone, da sehe ich weniger Sinn drin. Wobei es den da vielleicht noch eher hat, bzw. generell bei Systemen, wo die Eingabe über einen Touchscreen passiert - da ist das visuelle Feedback, dass ein "Tastendruchk" angenommen wurde, vielleicht sogar noch ganz wünschenswert. Bei einer normalen Tastatur, auf der ich Zeichen "einhacken" kann, habe ich das aber noch nie vermisst, da mir Tastsinn und Gehör schon ausreichend Feedback geben. (Der Feedback-Aspekt ist noch das einzige, was dieses Feature beim iPhone für mich halbwegs rechtfertigt. Gerade das Ding düfte zu den Devices zählen, bei denen ich noch in der höchsten Anzahl denkbarer Szenarien die Möglichkeit habe, es vor zu neugierigen Augen einfach wegzudrehen.)

Einige Mitposter haben Bedenken hinsichtlich der Sicherheit geäussert.
So lange man das immer und jedes Mal als explizite Wahlmöglichkeit für den Nutzer mit Maskierung als Default umsetzt, sehe ich diesbezüglich eigentlich kaum ein Problem.
Der "Bequemlichkeits-Faktor" soll gefährlich werden können. Aber ob das in Zeiten, wo das Passwort immer noch zu oft entweder "passwort" heisst, oder mittels Post-It am Monitor klebt, ein relevantes Argument ist - ich weiss nicht.

Zu deinem Plugin und der Testmöglichkeit in deinem Blog: Dabei irritiert mich (wenn ich denn wirklich hinsehe, was ich beim Tippen von Passwörtern normalweise nicht mache), dass der Cursor im Feld immer hin und her zappelt, je nachdem ob gerade ein schmales l oder ein fettes m durch den Kringel ersetzt wird - da würde ich also vorschlagen, generell eine monospace-Schriftart für das Passwortfeld zu wählen, dann sieht das ganze etwas ruhiger aus.

MfG ChrisB