徳丸 浩 「体系的に学ぶ安全な Web アプリケーションの作り方」337ページ(電子書籍版)では、パスワードのマスク表示の目的を「ショルダーハック」による盗み見のリスクを低減するためと書かれているものの、その直後に「パスワードを本当にマスク表示すべきか」というコラムがあり、ヤコブ・ニールセンの「パスワードを隠すのをやめよう」という主張が紹介されています。また、パスワードの表示・非表示を切り替えることができる実装が増えていることにも触れられています。ただし「他人が見ている場でいきなりパスワードが表示されると困る」「「パスワードの文字を表示する」チェックボックスの初期状態はオフになっていること」とまとめられています。
nishimoto 
スクリーンリーダーNVDA日本語版
Fork
パスワードのテキストボックスは画面では文字を伏せて表示されるが、音声で入力内容を読み上げできないか、というご意見をいただきました。
キーボードを見ないで入力を行うため、確認の手段が必要ではないか、あるいは、大文字小文字やかな入力などのモードを間違えやすいのではないか、という理由です。
これに関連して、実は現在のNVDA日本語版の実装では「日本語IMEをオンにしてパスワード入力を行い、半角に変換して確定する」という手順で、パスワードフィールドの入力文字を読み上げることができそうです。
一方、パスワード文字を読み上げ不可にしているのは、セキュリティを考慮した NVDA の仕様だと考えられます。
例えば本家チケット2021は「読み上げるべきでないものが読み上げられている」という不具合の報告で、セキュリティーの観点から読み上げるべきでないとされています。
パスワード入力欄を隠すという手法には、異論もあります。
徳丸 浩 「体系的に学ぶ安全な Web アプリケーションの作り方」337ページ(電子書籍版)では、パスワードのマスク表示の目的を「ショルダーハック」による盗み見のリスクを低減するためと書かれているものの、その直後に「パスワードを本当にマスク表示すべきか」というコラムがあり、ヤコブ・ニールセンの「パスワードを隠すのをやめよう」という主張が紹介されています。また、パスワードの表示・非表示を切り替えることができる実装が増えていることにも触れられています。ただし「他人が見ている場でいきなりパスワードが表示されると困る」「「パスワードの文字を表示する」チェックボックスの初期状態はオフになっていること」とまとめられています。
アプリケーションやWebサイトの開発者の意図に反して、パスワード入力文字が音声化されることが、好ましくないとすれば、日本語IMEの読み上げ実装においても、パスワードフィールドでは読み上げを無効にする、あるいはIMEサポートそのものを無効にする、といった対策が必要かも知れません。
また、いわゆるショルダーハックの問題を回避しながら、スクリーンリーダー利用者がどのようにすれば安全にパスワード文字の入力を確実に行えるべきか、検討が必要と思われます。
とりあえずコンポーネントやマイルストーンは設定しないまま、問題提起としてこのチケットを登録させていただきます。