Das ist der springende Punkt. ich würde schätzen, dass 98% der Anwendungen, in denen Passwörter abgefragt werden, relativ unkritisch sind, es kann nichts ernsthaftes passieren und deshalb ist wohl auch der Anreiz, dort zu hacken, minimal.

Und wenn es um wirklich kritische Daten geht, dann liegen die Sicherheitslücken auch nicht bei einer offenen oder verdeckten Dateneingabe. Natürlich will ich nicht, dass mir jemand bei der Passworteingabe über die Schulter schauen kann und so das Passwort mitbekommt. Aber die Schutzmechanismen sollten in einem vernünftigen Verhältnis zur Brisanz der Daten stehen. Die pauschale Meldung: "Mach das nicht, Passworteingaben soll man nicht sehen.", ohne Rücksicht auf die Art des Programms und der Daten, die da zu schützen sind, ist einfach nur lächerlich.