Um den letzten Teil zuerst zu beantworten: Ja, es würde einen Unterschied machen, wenn die offengelegten Daten Klartext vs. Hashing wären. Wenn Sie in einem Hash ein einzelnes Zeichen ändern, unterscheidet sich der gesamte Hash vollständig. Ein Angreifer kann das Passwort nur auf die brutale Art des Hashes ermitteln (nicht unmöglich, insbesondere wenn der Hash nicht gesalzen ist. Siehe Regenbogentabellen ).
Was die Ähnlichkeitsfrage anbelangt, hängt es davon ab, was der Angreifer über Sie weiß. Wenn ich Ihr Passwort auf Site A erhalte und weiß, dass Sie bestimmte Muster zum Erstellen von Benutzernamen oder ähnlichem verwenden, kann ich die gleichen Konventionen für Passwörter auf den von Ihnen verwendeten Sites versuchen.
Wenn ich als Angreifer ein offensichtliches Muster sehe, das ich verwenden kann, um einen ortsspezifischen Teil des Kennworts vom generischen Kennwortteil zu trennen, werde ich den Teil eines benutzerdefinierten Kennwortangriffs auf jeden Fall maßgeschneidert machen für dich.
Angenommen, Sie haben ein sehr sicheres Passwort wie 58htg% HF! C. Um dieses Kennwort auf verschiedenen Websites zu verwenden, fügen Sie am Anfang ein ortsspezifisches Element hinzu, sodass Sie Kennwörter wie: facebook58htg% HF! C, wellsfargo58htg% HF! C oder gmail58htg% HF! C haben. Sie können darauf wetten, dass ich hacken Sie Ihr Facebook und erhalten Sie facebook58htg% HF! c Ich werde dieses Muster sehen und auf anderen Websites verwenden, die ich finde, die Sie möglicherweise verwenden.
Es kommt alles auf Muster an. Wird der Angreifer ein Muster im Site-spezifischen Teil und im allgemeinen Teil Ihres Kennworts sehen?