Un artículo sobre las claves en Do Strong Web Passwords Accomplish Anything? (pdf) donde se sugiere que a lo mejor es suficiente con claves más cortas de lo que solemos pensar y que valdría la pena incidir en el aspecto de los identificadores (en lugar del dni, o alguno predefinido permitir a los usuarios elegir el suyo). Creo que las claves conviene que sean fuertes y también que el identificador pueda ser elegido por los usuarios (más que nada porque, al final, en algunas aplicaciones -¿la de los puntos de tráfico?- hay gente que ni siquiera sabe que las tiene disponibles y los ‘malos’ saben perfectamente cómo intentar acceder a tus datos).
Siguiendo con el capítulo de ‘heterodoxias’ variadas, el experto en ergonomía (usabilidad) ‘emitía’ una de sus ‘alert box’ sobre el tema de ocultar la clave cuando la estamos tecleando: Stop Password Masking. Esencialmente decía que enmascararla puede favorecer la seguridad pero el precio que se paga desde el punto de vista del usuario es alto, especialmente en dispositivos móviles (doy fe). Bruce Schneier en un primer momento se mostró de acuerdo (The Problem with Password Masking) pero luego se lo pensó mejor y matizó (que es, casi siempre, la manera correcta de enfrentarse a las cosas): The Pros and Cons of Password Masking. Básicamente, depende del contexto: tal vez habría que pensarlo un poco antes de enmascarar la clave y ver cómo y dónde se va a usar.
Es como esas medidas que a veces se aplican sin pensarlo mucho: cambiar la clave cada X tiempo, obligar a que sea de determinada forma, …
Mbpfernand0's Blog 
Pingback: Bitacoras.com
Esto parece más un problema propio de aplicaciones web. En programas de escritorio es posible dar a elegir sobre la marcha si quieres enmascarar la contraseña. En dispositivos móviles no sé. En general no me da problemas por la «memoria digital» (de los dedos).
Si. Se trata de aplicaciones web, efectivamente. Aunque la decisión hay que tomarla siempre, supongo :)