由于像这样的简单攻击场景，密码重用是一种安全性不好的做法：

^{资料来源：XKCD}

通过重复使用长而复杂的密码，您仍然面临上述架构中突出显示的相同威胁。

除此之外，将密码保存在文本文件中是一种不安全的做法，因为密码的隐私还取决于您计算机的安全（想想您可能安装的恶意浏览器插件、在您的计算机上安装间谍软件的偷渡式下载攻击）机器...）和您的网络。您还可以考虑其他情况，例如密码强度不起作用的网络钓鱼攻击。

每次您注册并让外部系统存储您的密码时，您都依赖于新系统来确保您的密码得到妥善保护。这意味着如果一个外部系统没有正确保护您的密码（例如，他们以纯文本形式存储密码并且存在 SQL 注入漏洞），无论您的密码安全习惯如何（例如，使用非常大的密码，将其存储在密码管理器中） )，如果该外部系统受到威胁，您的共享密码将被泄露。一旦被入侵，其他人可以使用该密码尝试登录其他潜在站点，如果您共享相同的密码，他们将成功。

拥有强密码并不能保护您免受与密码重用有关的漏洞。

所以你想出了一个强密码，你可以用它来注册你使用的大多数互联网服务。伟大的！现在，您可能会通过猜测您可能拥有的每个可能的密码并希望其中一个是正确的（“蛮力”攻击）来尝试登录您的特定帐户的人的安全。

假设您访问了我的全新网站，它为您提供了一些您真正感兴趣的精彩时事通讯。您决定注册该网站。您输入您的电子邮件地址和常用的强密码。

对你来说不幸的是，我并不完全诚实，虽然我会为你设置一个时事通讯订阅，但我也会将你刚刚输入的电子邮件地址和密码发送到我的个人电子邮件中。一旦到达我的收件箱，我可以在 facebook、gmail、yahoo 邮件、twitter 等上尝试组合。迟早我会进入你的一个帐户。

或者，假设我是诚实的，并没有打算窃取您的帐户，但我在安全方面真的很差。也许我将您的密码以纯文本形式存储在数据库中，并且没有任何东西可以阻止攻击者进入它。因此，有一天出现了一个讨厌的人，他找到了一种复制数据库内容的方法，突然他也有了你的电子邮件和密码！哎呀。

当您为任何网站或服务选择密码时，始终最好假设密码可能在某些时候被某人读取。

您只需要确保当这种情况发生时，被泄露的信息不会让任何人进入您的任何其他帐户。

密码重用的作用是通过使攻击者能够通过一次攻击破坏您的所有帐户来增加攻击面。这可以通过 MITM（这将需要 TLS 站点的伪造证书）、通过数据库获取密码（这需要访问，并且使用安全哈希 + salt 也几乎不可能）或恶意网站来实现，最后一个选项是最简单的。

您的密码现在仅与最弱的网站一样安全，并且许多网站使用已弃用的安全协议。您的密码熵不会保护您，因为获取密码的熵要低得多。