> 現状では、パスワードに日本語の文字を使用できるケースはほとんどないと思いますが、それはパスワード入力欄に日本語の文字を入力することが困難だからでもあるでしょう。マスキングをやめれば、日本語の文字を含むパスワードを使用できるようになり、パスワードの強度は大幅に上がるはずです。
パスワードをIMEが学習するのをどう阻止するかという大きな問題があります。最近のIMEには予測入力なんて機能もありますから最初の数文字がたまたま一致するものをタイプしただけでパスワードがだだ漏れ、という可能性すらあります。IMEのユーザー辞書はふつうそこまで機密性が高いものとはみなされていませんから直接読み取るという手もありますし。
また最近はWebブラウザの入力欄にも自動補完の機能があります。Webブラウザの場合<input type="password">な入力欄のみ暗号化して記録したり、クリックしただけでは候補が出ないようにしたりと他とは違う記憶のさせ方をしていることが多いですが、マスキングをやめるためだけにtype="password"以外のものをパスワード入力で使うようにしたらエラいことになるかもしれません。type="password"のままマスキングを解除する機能などが標準化されない限り、ちょっと危険すぎると思います。
安易にマスキングをやめて日本語パスワードを採用するところがゾロゾロ現れたらちょっとしゃれにならないのでいちおう注意を喚起しておきます。
> XFormsではわざとリセットボタンを作りにくくした (www.w3.org)なんて話もあります。
XFormsは終了のお知らせに含まれていないのですね。
http://www.w3.org/2009/06/xhtml-faq.html#xforms
