¿Esto significa que la empresa que administra el sitio web no almacena las contraseñas de manera segura?
Una posible forma de hacerlo es comparando su nueva contraseña con la contraseña anterior que proporcionó en la misma página (o la anterior) para iniciar sesión en este sitio web. Tenga en cuenta que aunque el sitio web almacena el hash de la contraseña, su contraseña de texto sin formato se envía al sitio web cada vez que inicia sesión. Para la función de cambio de contraseña, podrían guardarla temporalmente en la sesión para realizar estos cálculos de "cómo son las contraseñas".
Si es así como lo hacen, no veo ningún problema con eso. Sin embargo, si realmente están invirtiendo las contraseñas por algún medio, entonces definitivamente no lo están haciendo de la manera correcta.
¿O hay una manera de almacenar las contraseñas con hash y aún poder descubrir que la contraseña anterior solo difiere 1 carácter de la nueva?
No, no hay forma de recuperar la contraseña de texto sin formato o calcular la longitud del texto sin formato a partir de su hash (dado su hash usando un algoritmo de hashing bueno y no se puede forzar con fuerza)