Es gibt einen wichtigen Punkt, der hier kaum angesprochen wird und in dem von Ihnen verlinkten UX-Thread etwas mehr angesprochen wird, den ich hervorheben möchte.
Das Feld zur Kennwortbestätigung allein dient keinem Sicherheitszweck . Es dient jedoch als Usability -Zusatz, um Kopfschmerzen zu lindern, die andernfalls durch etwas verursacht werden könnten, das eine Sicherheitsfunktion ist.
Der Grund, den wir haben Benutzer bestätigen ihre Passwörter, weil sie ihr Passwort bei der Eingabe nicht auf dem Bildschirm sehen können. Der Grund, warum wir ihnen nicht erlauben, das Passwort auf dem Bildschirm zu sehen, besteht darin, zu verhindern, dass Schulter-Surfer, Überwachungskameras, freigegebene Desktop-Benutzer und Bildschirmaufnahme-Tools das Passwort sehen.
Wenn das Passwortfeld angezeigt wird bleiben Sie entlarvt, dann wäre es sinnvoll, auf eine Passwortbestätigung zu verzichten. Sie können dies bereits in einigen Anwendungen in Aktion sehen (KeePass ist ein Beispiel), mit denen Sie das Kennwortfeld selektiv maskieren / demaskieren können. In diesen Anwendungen ist das Kennwortbestätigungsfeld nur aktiviert, wenn das Kennwort maskiert ist.
Der Dialog des Kennwortbestätigungsdialogs dient der Überprüfung der Integrität des Benutzers. Benutzern kann nicht vertraut werden, dass sie ihr Passwort 100% der Zeit fehlerfrei eingeben, und noch viel weniger, wenn sie das Passwort vor der Übermittlung nicht visuell überprüfen können. Es ist jedoch sehr unwahrscheinlich, dass ein Benutzer sein Passwort zweimal hintereinander auf die gleiche Weise "fetten" wird. Auf diese Weise kann ein Benutzer relativ sicher sein, dass er das Kennwort so festlegt, wie er es für richtig hält, ohne die Sicherheit durch Anzeige auf dem Bildschirm beeinträchtigen zu müssen.
Natürlich sollte dies so verstanden werden nur in der Registrierungsphase erforderlich. Dies liegt daran, dass Sie während des Setups nur eine Chance haben, Ihr Kennwort festzulegen, bevor Sie sich dazu verpflichten. Beim Anmelden erhalten Sie mehrere Versuche. Ein einmaliger Fehler bei der Anmeldung ist viel kostengünstiger als bei der Registrierung (ohne Bestätigungsfeld).