先日、知人といるときにケータイをいじってたんですよ。
んでログインパスワード入力が必要なページがあったんですけど、パスワードを入力すると、パスワード文字列が丸見えなんですよね。
「ケータイはパスワード見れちゃうサイトが多すぎだ！ちゃんとtype=”password”にしてくれよ！ファック！」とつぶやいたら、その知人がですね「えー、でもアタシのケータイだと*マークになっちゃうと何の文字入力してるかわかんないからパスワード見れてたほうがいいんですけど」みたいなことを言うわけですよ。
「いやいや、今入力している文字は見えるからいいじゃん。前の文字だけ隠れるじゃん」ということを言ったら、どうやら違うらしくて、端末によっては今まさに入力している文字も見えないやつがあるらしいのですよね。（ちなみにその知人のケータイはN905iでした。前のケータイもNで同じ挙動だったとか。）
だから、たとえば「c」を打ちたいときは「2」を3回押して*が一つ表示されているのを見て「たぶんcだな！」と、まさにブラインドタッチなテクニックが必要とされるらしいのです。
ドコモのケータイはそうなのか？と思って家に帰ってからF906iを使って調べてみたら、それは別に今入力している文字は見えたので、N固有の問題かも知れませんが…（今まで使ってきたauのケータイでもソフトバンクの921SHでも、入力中の文字は見えるので）

というわけで、ケータイのパスワードが丸見えなのは、全体でパスワードが見えていた方が安心と思うユーザーが多いからだけなのかと思いきや、そんな理由もあったらしいです。

たぶんこの仕様を決めた人は、「今現在入力しているパスワード文字が見れてしまったら、電車とかでじーっと後ろから見られたらパスワードがわかってしまうではないか！これはいかん！」と思ってパスワードを1文字たりとも見えなくさせたのだと思うのですが、そういったセキュアな親切をした結果、丸見えパスワードにするサイトも増えてしまっているらしいので、何というか、何とも皮肉な…という感じですね。

とりあえずtype=”password”のまま運用するのなら、数字のみ入力できるようにすれば*マークでも困ることはなさそうですが、それはそれでパスワードの脆弱性が増してしまいますし、難しいところですね。（IPチェックをすれば総当たりアタックされにくいとはいえ）
あちらを立てればこちらが立たず。