Se consideri una violazione del servizio e le password sono gestite correttamente dal lato di autenticazione, l'attaccante che ha ottenuto l'accesso al database delle password viene lasciato solo con l'attacco brute-force.
Attacco a forza bruta significa controllare esaustivamente tutte le possibilità, ma non limita il metodo al più stupido "da 0000 a ZZZZ". Detto questo, un utente malintenzionato che si aspetta che gli utenti possano creare più account con la stessa password può facilmente modificare l'algoritmo per controllare tutti gli account rispetto a ciascuna password rilevata.
Se questo è un problema dipende da te.
Se consideri un attacco sul lato client, un utente malintenzionato deve imparare una password tra più coppie di account-password per apprenderle tutte.
Se accedi a tutti gli account dalla stessa macchina, la superficie di attacco rimane costante, ma se usi un account su un dispositivo mobile, l'altro su un PC sicuro, un dispositivo compromesso rivela le informazioni su tutti gli account.
Anche in questo caso, dato che hai espresso l'idea, le altre persone ci pensano o lo fanno anche tu, e un aggressore probabilmente ne approfitterebbe (il costo è zero).
Se questo è un problema dipende da te.