別のwebサービス(詐欺含む)でOAuth2の連動アプリとかでアカウント使ってログイン許可したことないか?
それだとパスワード変えても無駄