Потому что, например, вам может понадобиться отправлять эти данные с помощью js на сервер без перезагрузки страницы. Или хотя бы валидировать. Поле с типом password – такое же поле, как и text, оно защищает только от того, что кто-то рядом с пользователем увидит, что введено.
Для того, чтобы эти данные были в безопасности, браузер предпринимает разные меры – не разрешает выполнять js из адресной строки, предотвращает инъекции скриптов, предупреждает, когда вы устанавливаете дополнения, что они будут иметь доступ к вашим данным и т.д.
То есть в обычном варианте на страницу какого-либо сайта не попадет никакой скрипт кроме того, который туда поместят те, кто его делают. А в таком случае это безопасно.
Насчет разрешения "доступ к паролям" – никто не запрещает сделать заявку ко всем основным браузерам с тем, чтобы это реализовали. Если это будет на самом деле востребовано, вполне же может появиться.
Средний
