Já bych ani neměl strach o hesla na serveru. Tam jsou dvě možnosti, buď ho zjistit umí, nebo neumí, podle toho, jestli mají uložené heslo, nebo jeho hash. Ve druhém případě posílají mail na zresetování hesla (ono v prním případě to tak také může být, ale pokud je možnost poslat emailem heslo, pak je to jasně první případ).
Já bych spíš měl strach z toho, co se děje po cestě. Jestli třeba to, že stránka je https opravdu znemožňuje, aby si někdo heslo přečetl, vlastně ani nevím, v čem spočívá, jestli je to jenom ověření, že mluvím s tím, s kým chci (a ne s podvrženým serverem) nebo jestli je ta komunikace opravdu šifrovaná. Něco jiného je http, tam si to může přečíst kdokoliv, kdo dokáže odchytit komunikaci, ale to snad už žádný takový server nepoužívá.
A také to ukládání hesel v prohlížeči. Tak jasně heslo na email neni problém, maximálně někdo mým jménem rozešle statisíce spamů, než schránku zablokují (je to poměrně běžné a je potom radost promazávat třeba 15 tisíc zpráv), ale co třeba heslo bo banky. Já dám neukládat (nikdy pro tento server), ale nikde nemám zaručeno, že si ho prohlížeč potají neuloží, očividně k němu přístup má. Nebo že nemá nějaká zadní vrátka, přes které se k tomu dostane někdo, kdo má od nich klíč. Ostatně tohle nebezpečí je i na straně serveru, proto se právě hesla neukládají jako plain text ale v podobě nějakého hashe, takového, aby se současným výpočetním výkonem nikdo nedokázal spočítat heslo, které takovému hashi vyhovuje (teoreticky by ani nemuselo být stejné jako původní).