allora lo spam che arriva via mail è generato da bot che in automatico creano n mila mail, tra le tante a vuoto qualcuno arriva, mai e ripeto MAI rispondere è come dire io esisto davvero dateci dentro.

Per quel che riguarda la robustezza delle password dipende da come viene fatto l'hacking se è il cross site puoi mettere anche quella più complessa che te la vede ugualmente.
visto che gliela manda sul sito fake e lui logga in chiaro quel che gli scrivi.

Per evitare il cross site, munirsi di firefox e installare il plugin noscript e unire il buon senso ossia la richiesta della password in ebay avviene solo alla connessione dell'utente, nessuna richiesta di reinserimento avviene durante una transazione oppure nella ricerca di info su un oggetto.