^^^ this Lässt sich enorm entschärfen, indem man sein Passwort nur jemals einmal verwendet. Trotzdem gibt es natürlich auch Situationen, in denen ein Angreifer unbemerkt die Passwort-Hashes einer Seite auslesen konnte und erst über diese versucht Zugriff auf einen der Accounts zu erhalten. http://xkcd.com/936/ - was aber in der Praxis für Online-Logins wieder anders aussieht, da eine ordentlich konfigurierte Seite keine zu langen Passwörter zulässt, um Hashkollisionen zu vermeiden.