Ono to je tím, že se uživatelům to prostě nechce používat pro každou službu jiné heslo. Pro získání jména a hesla není nutný ani malware, ale stačí i phishing. Spousta uživatelů ani pak nekontroluje url, kam to zadávají.
Ukládání hesel v hash uživatel nemá jak ověřit a zjistí to, až je pozdě.
Já pro každý záznam generuji nové heslo a na tyhle registrační blbinky mám speciální e-mail, který můžu zrušit a založit nový.