Questa è una domanda interessante. Una regola generale nella crittografia è che la creazione di qualsiasi schema in chiavi o password è una cattiva idea, perché i modelli indeboliscono il sistema. Ad esempio, nel tuo caso diciamo di accedere a 10 siti Web utilizzando una password di base di myb @ s5PW e aggiungi un suffisso della password alla fine. Forse per lo scambio di stack si usa myb @ s5PWstEX, per il sito di blog si usa mhb @ s5PWblSI, ecc. O forse si usano invece aamyb @ s5PW e bbmyb @ s5PW. O c'è uno schema discernibile, anche se è nota una sola password.
Supponiamo che Stack Exchange sia stato violato (vulnerabilità sconosciuta zero day, nulla che potessero fare al riguardo) e che siano state acquisite tutte le password degli utenti, compresa la tua. Sono sicuro che da qualche parte qualcuno sta mettendo queste informazioni in un database, così che il DB avrà quindi il tuo nome utente con una password accanto. Diciamo che il sito del blog è stato violato allo stesso modo, quindi ci sarebbero due password collegate al tuo nome utente con uno schema facilmente comprensibile. Se qualcuno volesse hackerare uno dei tuoi altri account, tutto ciò che dovrebbero fare è fare ipotesi plausibili basate sul modello. Potresti renderlo più difficile rendendo i tuoi pattern più complessi, ma è così facile da forzare brute-force tutte le combinazioni di myb @ s5PW che nessuna quantità di complessità non lo renderà così strong. Se fosse vero, non sarebbe un tentativo per un attaccante di capire il tuo modello anche con un solo esempio, se lo cercassero, ma è improbabile che uno provasse a meno che non lo bersaglia specificamente.
Quindi, da una prospettiva di rottura del codice, è una cattiva idea, ma come tante altre cose in sicurezza non è l'unico fattore. Il fatto è che la maggior parte delle persone usa la stessa password per più siti senza alcuna variazione, quindi un hacker che ottiene la password per un sito in molti casi avrà accesso a molti altri siti. Perché un hacker dovrebbe passare alla ricerca di schemi quando potenzialmente ha milioni di account utente da toccare senza alcun tipo di lavoro? Solo se ti prendono di mira specificamente dovresti preoccuparti di questo.
Aggiungi a questo il problema di ricordare password multiple e complesse. A meno che tu non sia Rain Man, non sarai mai in grado di memorizzare 40 password complesse, quindi avere un sistema di password di base che abbia senso per te, ma prenderebbe un po 'di lavoro per capire è una soluzione praticabile per i problemi di autenticazione di oggi.
Come per tenerli tutti ben dritti scrivili e conservali in una scrivania chiusa al lavoro o in un cassetto chiuso a chiave nella tua casa. Seriamente, la stragrande maggioranza delle persone che stanno cercando di ottenere la tua password sono probabilmente a metà strada da te, che sta per irrompere nella tua casa o lavora per ottenere le password nel tuo account di scambio stack!
Questo è un approccio basato su qualcuno con un livello medio di rischio. Se fai conosci qualcuno che potrebbe entrare nella tua casa per ottenere le tue password, allora usare una sorta di modello nelle tue password è una cattiva idea.