No entiendo muy bien para qué lo quieres. Si es para traer de la base de datos la info y mostrar que había un a contraseña escrita, es mala idea dar a notar cuántos caracteres tiene la contraseña.

Si fuera para captura imagino que sabrás que hay un tipo de input "password" que hace que el navegador muestre los * por ti.

Ahora que si es lo primero y no te interesa el tema de seguridad, podrías hacer un str_pad indicando el tamaño del password, el cual.

Por cierto, si traes el password de la bd y está encriptado o con hash (debería estarlo) no te mostrará la longitud real.