Хорошие и передовые сервисы имеют множество средств защиты учётной записи.
Такими средствами - лучше НЕ пренебрегать и не отказываться от их использования!
1. Проверяйте, что пароль уходит ТОЛЬКО в зашифрованном виде или через SSL!
2. Пароль (любой и можно не менять) + E-MAIL + SMS +
Google Authenticator + выставить фильтр по IP-адресу/подсети + OAuth/SSH-токены ещё бывают и т.д.
А вообще - вопрос хороший: надо черкануть статью: "Учётка в сейфе"))
UPD:
Создадим функцию (формулу):
Функция: логин, hash: sha1(домен+"соль"), текущая дата создания/смены пароля, алфавит всех возможных символов в пароле, требования для формирования пароля и своя "соль".
На вход: только домен.
Затем вычисляем hash и по hash'у - находим логин и после: вычисляем пароль.
На выходе: получаем логин и готовый пароль
Т.е., не зная домена и формулы - не узнать точного логина и пароля.
А пароль - нигде не хранится.
