Le mie conoscenze di base assumono affermativamente, a meno che i siti Web non includano in qualche modo il nome utente nella funzione di hashing con la password, ma non sono sicuro che questa sia una pratica comune.
Dipende se aggiungono o meno i singoli sali o se usano un sale comune (o niente sale).
Se usano i sali individuali, allora saranno diversi; altrimenti, [probabilmente] saranno uguali.
Come sempre, una buona lettura è risposta canonica di Thomas Pornin a Come fare in modo sicuro le password di hash , che offre sia consigli e spiegazioni su sali crittografici casuali per utente unici, con PBKDF2, BCrypt e SCrypt che sono algoritmi di scelta e detti sali sono obbligatori.
Per la tua domanda specifica, leggi semplicemente le domande security.stackexchange.com e stackoverflow.com con il tag "password" e troverai rapidamente che NON esiste un modo standard per fare nulla con le password.
SCrypt è quasi sconosciuto.
BCrypt è principalmente riservato per PHP 5.5 e versioni successive (e 5.3.7 con password_compat; c'è un buon numero di persone PHP che lo usano e un buon numero di persone PHP che usano qualcos'altro.
PBKDF2 è la scelta giusta per quasi tutti gli altri.
E ANCORA hai una combinazione di altri metodi hash iterati (spesso con errori di salatura), singole iterazioni di un hash (di solito con errori di salatura), hash non salati e fuori e fuori Non essere un Dave domande, ancora e ancora e ancora e ancora e ancora.
Quindi no; quando si tratta effettivamente di gestire le password, si deve presumere che Dave stia codificando il proprio sito Web.
Leggi altre domande sui tag hash