#112 Si bueno, ahora por introducir unos caracteres en un input box te van a sacar las sesiones que tienes abiertas en tu explorador jajaja xD Muy poco hay que saber de seguridad y desarrollo web para creer que algo así es posible xD
Tan solo un MITM podría hacer algo así, habiendo previamente hackeado su target. Vamos, que no podría hacerse como un ataque masivo sino como algo dirigido a un solo cliente. Y sería más facil usar un keylogger que montarse toda esa inútil paja mental de crear una wordlist en base a lo que escribe gente random de la que no conocemos nada.
#113 Eso es otra pollada como un templo. La probabilidad de que la base de datos con la que esté trabajando ese tío tenga el username que se corresponde con un password de la wordlist que supuestamente está generando a partir de la gente que mete ahí passwords es ridículamente baja; despreciable de hecho. Sobre todo por el hecho de que la mayoría de las personas que han introducido ahí un password fuerte no tendrán publicada su dirección de correo en ningún sitio, por lo que no estará en ninguna base de datos de listas de correos. Además: quién te dice que esa password sea de un correo y no de un foro cualquiera, un banco, una plataforma como steam o vete tu a saber.
Es más, de llegar a reventar alguna cuenta sería simplemente por tener un password débil y no por haber combinado la wordlist contra la base de datos de usernames.
PS: os vale cualquier excusa con tal de no admitir que un password sin su user asociado es INÚTIL. Quien tiene cierto reparo en poner ahí una contraseña es por no saber cómo funcionan estas cosas, simplemente.