Ten systém není špatný. Většinou se rádoby hacker dostane k databázi ukradených profilů z nějakého webu. Tam má k dispozici mail a heslo. Uživatelské jméno ho v podstatě nezajímá, protože odkud to uniklo jsou většinou nějaké pofidérní weby.
On si pak jen zkusí, zda byl uživatel "jednoduchý" a má stejné heslo i k mailu. Pokud ano, dostane se do mailu a odloží to k dalšímu zpracování - když má štěstí, najdou se ve schránce informace o bankovnictví apod. Pak se může přihlásit, změnit si heslo - mail pro potvrzení má atd.
Nemá čas zkoušet různé varianty hesel, protože většinou ani nezná jazyk. Tak to použije k dalšímu kroku, k rozeslání mailu, že má přístup k tvému PC, že ti tam nasadil vira a sleduje tě atd. Tam ti pošle ukradené jméno a heslo, aby tomu dodal váhu.

Takže jakákoliv malá modifikace hesla pro různé weby mu to znemožní.