Wie sicher ist Email? Wie schlank ist Reiner Calmund? Wie demokratisch ist <Despot deiner Wahl>? Fragen über Fragen...
Zuschicken von Passworten per Bote "Emil" ist kein guter Service. Normalerweise legt man beim Registrieren ein Passwort fest und kann sich eine Mail schicken lassen, um es zurückzusetzen.
Ein Mailräuberscript muss zum einen passend auf deinen Client programmiert sein. Und es muss in dem Moment aktiv werden, wo Du die Reset-Mail bekommst. Deswegen solltest Du solche Mails nicht lange im Postfach rumliegen lassen, sondern sofort nach Bestellung nutzen.
Es hilft aber auf jeden Fall, einen Mailclient zu verwenden, mit dem Du aktive Inhalte in Mails sperren kannst.
Im Falle von Webseiten, die Geld bewegen, ist aber eine höhere Sicherheit zu verlangen. Ich würde erwarten, dass dort jede wichtige Transaktion (Passwort ändern, Geld bewegen) durch ein Token gesichert ist. Das kann z.B. eine Kontroll-SMS auf dein Handy sein mit einer Transaktions-PIN - siehe Mobile TAN im Internet Banking. Oder ein RSA-Token, dass alle 30s eine neue kryptographische Zufallszahl erzeugt. Oder ein HBCI-Terminal. Aber nie nie nie nur ein Passwort beim Anmelden. Einen solchen Broker würde ich meiden.
Wenn Du Intraday-Trading machst, wo ggf. sekundengenaue Reaktionen nötig sind, mag das zu langsam sein. Wie man das dann so absichert, dass MiM Attacken erschwert werden, weiß ich nicht so genau. Vielleicht eine Remote-Desktop Session auf einen Terminalserver des Brokers? Das dürfte aber nicht der Standard-Anwendungfalls von Internet-Brokern sein.
Rolf