Eine Passwort-Herausgabe ist gar nicht mal so abwegig. Nicht unbedingt für das Passwort des Accounts selbst. Denkt mal weiter.
Mögliche Szenarien:
- Einige Mail-Provider (z.B. Google, Microsoft, ...) bieten an, Mail auch von anderen Providern "einzusammeln" und in einem Account anzuzeigen. In irgendeiner Form muss man dazu die "Credentials" eingeben (z.B. ein API-Token, oder eben Username und Passwort des anderen Mail-Providers).
- Internet-of-Things: Zugangsinformationen (in welcher Form auch immer) für Geräte im Haus können _sehr_ interessant sein. Allein, um herauszufinden ob (bzw. wann) jemand daheim ist. Also nicht nur IP-Kameras. Auch Bewegungsmelder für das Flurlicht. Oder Thermostate.
Wie schon anderswo genannt, könnte man natürlich auch Betreiber dazu verpflichten, Passwörter bei der Eingabe nicht nur zu hashen, sondern mit einem PK-Public Key zu verschlüsseln. (Auch TLS/SSL-Verbindungen bauen einen sicheren Tunnel auf, aber der Empfänger am anderen Ende "sieht" alle Eingaben im Klartext. Das wird von Firmen gerne mal "vergessen", die z.B. Office365 einsetzen - da authentifizieren sich bei einigen Betrieben die Nutzer mit ihren internen SSO-Passwörtern. Andererseits liegen dann sowieso schon - oft unternehmenskritische - Daten auf fremden Servern.)