「パスワードリスト攻撃」とは、何らかの方法で入手したIDとパスワードのリストを使ってWebサイトにアクセスを試みる攻撃方法です。
例えばFacebookから漏洩したIDとパスワードのリストを入手したとします。それらを使ってTwitterやGoogleなど他のWebサービスへのログインを試みます。すると結構な確率でログインできてしまうのです。
なぜなら利用者は、パスワードが覚えられないので、同じIDとパスワードを使い回すケースが多いからです。
この攻撃のやっかいなところは、正規の方法でログインしているので被害にあっていることがわかりづらいことです。

対策として、いつも同じIDとパスワードを使い回しているという方は、サービスごとにパスワードを変更しましょう。

覚えられないという方は紙のメモを使うのもおすすめです。アナログ的ですが、IDとパスワードを別々の紙で管理するとより安全です。
また、下記のようにパスワードを管理するソフトを使うのも良いでしょう。

利用者のセキュリティ意識の問題でもあるので、企業の管理者などは積極的に注意喚起していく必要がありますね。