Untuk menjawab bagian terakhir terlebih dahulu: Ya, itu akan membuat perbedaan jika data yang diungkapkan adalah teks-bersih vs hash. Dalam hash, jika Anda mengubah satu karakter, seluruh hash sama sekali berbeda. Satu-satunya cara penyerang mengetahui kata sandi adalah dengan memaksa paksa hash (bukan tidak mungkin, terutama jika hash tidak tawar. Lihat tabel pelangi ).
Sejauh pertanyaan kesamaan, itu akan tergantung pada apa yang penyerang tahu tentang Anda. Jika saya mendapatkan kata sandi Anda di situs A dan jika saya tahu Anda menggunakan pola tertentu untuk membuat nama pengguna atau semacamnya, saya dapat mencoba konvensi yang sama pada kata sandi di situs yang Anda gunakan.
Atau, dalam kata sandi yang Anda berikan di atas, jika saya sebagai penyerang melihat pola yang jelas dapat saya gunakan untuk memisahkan bagian kata sandi khusus situs dari bagian kata sandi generik, saya pasti akan membuat bagian dari serangan kata sandi khusus yang disesuaikan kepadamu.
Sebagai contoh, katakan Anda memiliki kata sandi super aman seperti 58htg% HF! C. Untuk menggunakan kata sandi ini di situs yang berbeda, Anda menambahkan item spesifik situs di awal, sehingga Anda memiliki kata sandi seperti: facebook58htg% HF! C, wellsfargo58htg% HF! C, atau gmail58htg% HF! C, Anda dapat bertaruh jika saya retas facebook Anda dan dapatkan facebook58htg% HF! c Saya akan melihat pola itu dan menggunakannya di situs lain yang saya temukan dapat Anda gunakan.
Semuanya bermuara pada pola. Akankah penyerang melihat pola di bagian spesifik situs dan bagian umum kata sandi Anda?
58htg%HF!c
tidak berguna, terima kasih banyak