Verwende kein type="password" Feld.
Irgend woher muss der Admin ja eh ein passwort ablesen um es eintippen zu können. Da ist über die Schulter gucken sowieso unverhinderbar.

lieber nicht ;)

PS: Eigentlich sollten User ihr Passwort selber bestimmen/ändern können ohne Umweg über einen Admin.

Ja, können sie. Trotzdem muss ich dem Administrator diese Option anbieten.

BTW: Habe selbst die Lösung gefunden:

<input type="password" name="pwd" value="" autocomplete="off" />

... wobei das "autocomplete" die Wirkung erbringt. Jetzt muss ich mich nur noch schlau machen, ob das Strict ist, ich hoffe ja ...