Para responder a última parte primeiro: Sim, faria diferença se os dados divulgados fossem texto não criptografado versus hash. Em um hash, se você alterar um único caractere, o hash inteiro será completamente diferente. A única maneira de um invasor saber a senha é forçar o hash com força bruta (não é impossível, especialmente se o hash não tiver sal. Consulte as tabelas do arco-íris ).
Quanto à questão da similaridade, isso dependeria do que o atacante sabe sobre você. Se eu receber sua senha no site A e se souber que você usa certos padrões para criar nomes de usuário ou outros, posso tentar as mesmas convenções sobre senhas nos sites que você usa.
Como alternativa, nas senhas que você forneceu acima, se eu, como invasor, vir um padrão óbvio que posso usar para separar uma parte específica da site da senha da parte genérica da senha, definitivamente farei essa parte de um ataque de senha personalizado para você.
Como exemplo, digamos que você tenha uma senha super segura como 58htg% HF! C. Para usar essa senha em sites diferentes, adicione um item específico do site ao começo, para ter senhas como: facebook58htg% HF! C, wellsfargo58htg% HF! C ou gmail58htg% HF! C, você pode apostar se eu hackear seu facebook e obter facebook58htg% HF! c Vou ver esse padrão e usá-lo em outros sites que acho que você pode usar.
Tudo se resume a padrões. O invasor verá um padrão na parte específica do site e na parte genérica da sua senha?
58htg%HF!c
inútil, muito obrigado