Also, als jemand, der einen E-Mail-Service betreibt und bereits von genau diesem Szenario betroffen war kann ich dir sagen: das geht ;) Das Passwort wurde über IMAP ausgetestet und das führte dazu, dass wir auf einmal ein starkes Spam-Problem hatten.
...
... (ich betreibe das ja nur privat und Firmen-intern)

Damit ist das wohl kaum auf die Masse zu übertragen. Wer dagegen jedem der einen Browser bedienen kann ein Emailkonto anbietet, der braucht keine Nutzer mit schwachem Paßwort, damit sein Dienst zum versenden von Spam verwendet werden kann.