ちょっと発見したこと。

GoogleChromeではパスワード欄のコピーができないようになっています。
パスワード欄からパスワードをコピーして平文の状態で得ることはできません。

これはパスワードを記憶する設定にしている場合や、
パスワード入力途中に席を立った場合に盗まれにくくするための対策だと思われます。

しかし

Chromeにはデバッガが付いており、表示中のHTMLを自由に書き換えることができます。
この機能で、パスワード欄のtype属性をpasswordからtextへ変更すると...

パスワードが丸見えになります(・ω・)

脆弱性として報告したら賞金貰えたりして。

デバッガが標準装備なのが問題だと思いますね。

例えば、共用PCや他人のPCでログイン画面を開いておき、
フォームの内容を送信するJavascriptトラップコードをデバッグコンソールで実行しておけばXSS攻撃ができます。

追記：
よく考えたらこれはXSSとは違いますね。Javascriptコードを実行する点では同じですが。