パスワードのマスキング機能とは、パスワードの入力フォームの入力値を見えないようにする機能です。
これを使用しない場合下記のようなリスクがあります。
【リスク】
・パスワードなどの秘密情報を画面に平文で表示すると、ソーシャルエンジニアリング(のぞき見)によって情報漏洩する危険性がある。
【対策】
秘密情報の入力値を表示する場合は、「●」や「*」などでマスキングして表示しましょう。
ユーザーが入力値を確認できるようにする仕様の場合は、
マスキングすることをデフォルトとし、
マスキングのオン/オフ切り替えをできるようにしてください。
実は世の中にはマスキング不要論が存在します。
パスワードにマスキングすると
・ 誤入力による認証エラーの誘発
・ ユーザーが単純なパスワードをつけがち
といったデメリットがあるからです。
彼らは「ソーシャルエンジニアリングによる物理的漏洩への対策の方がそもそも重要」と主張します。
しかし、ユーザー全てがソーシャルエンジニアリングへの意識を高く持っている
という前提でマスキングをしない仕様にするというのは難しいですね。
パスワード等の秘密情報の入力値がマスキング表示される仕様であれば、
マスキングがデフォルトとなっていることを確認してください。