Para responder primero a la última parte: Sí, marcaría una diferencia si los datos divulgados fueran de texto sin cifrar frente a hash. En un hash, si cambia un solo carácter, todo el hash es completamente diferente. La única forma en que un atacante sabría la contraseña es forzar el hash por fuerza bruta (no es imposible, especialmente si el hash no tiene sal. Ver tablas de arcoíris ).
En cuanto a la pregunta de similitud, dependerá de lo que el atacante sepa de ti. Si obtengo su contraseña en el sitio A y sé que usa ciertos patrones para crear nombres de usuario o similares, puedo probar esas mismas convenciones sobre las contraseñas en los sitios que usa.
Alternativamente, en las contraseñas que proporcione anteriormente, si yo como atacante veo un patrón obvio que puedo usar para separar una parte de la contraseña específica del sitio de la parte de la contraseña genérica, definitivamente haré esa parte de un ataque de contraseña personalizado adaptado para ti.
Como ejemplo, supongamos que tiene una contraseña súper segura como 58htg% HF! C. Para usar esta contraseña en diferentes sitios, agregue un elemento específico del sitio al principio, de modo que tenga contraseñas como: facebook58htg% HF! C, wellsfargo58htg% HF! C, o gmail58htg% HF! C, puede apostar si yo piratee su facebook y obtenga facebook58htg% HF! c Voy a ver ese patrón y usarlo en otros sitios que creo que puede usar.
Todo se reduce a patrones. ¿El atacante verá un patrón en la parte específica del sitio y la parte genérica de su contraseña?
58htg%HF!c
inútil mi contraseña predeterminada en todas partes , muchas gracias