Если у вас будут данные, по которым вы сможете идентифицировать пользователя, оставившего пароль, а сами в соглашении укажете, что за информацию, оставленную на сайте несет пользователь, то вы, в принципе, чисты перед законом. Просто по запросу владельцев wi-fi вы должны будете удалить такую информацию с сайта, а по запросу органов еще и предъявлять данные о пользователе, информацию на вашем сайте разместившем. Если у вас размещают одни "анонимусы", то спрос будет с вас, как с владельца ресурса. Где-то недавно на хабре обсуждалось.