Mi conocimiento básico supondría que sí, a menos que los sitios web incluyan de alguna manera el nombre de usuario en la función de hashing con la contraseña, pero no estoy seguro de que esto sea una práctica común.
Como siempre, una buena lectura es la respuesta canónica de Thomas Pornin a Cómo hacer una contraseña segura de hash , que proporciona ambas consejos y explicaciones sobre las sales criptográficas aleatorias únicas por usuario, con PBKDF2, BCrypt y SCrypt como algoritmos de elección y dichas sales son obligatorias.
Para su pregunta en particular, simplemente lea las preguntas de security.stackexchange.com y stackoverflow.com con la etiqueta "contraseñas", y encontrará rápidamente que NO hay una forma estándar de hacer nada con las contraseñas.
SCrypt es casi desconocido.
BCrypt está mayormente reservado para PHP 5.5 y versiones posteriores (y 5.3.7 con password_compat; hay un buen número de usuarios de PHP que lo usan y un buen número de usuarios de PHP que usan otra cosa).
PBKDF2 es la mejor opción para casi todos los demás.
Y AÚN TIENE una combinación de otros métodos hash iterados (a menudo con errores de salazón), iteraciones únicas de un hash (generalmente con errores de salazón), hashes sin sal, y fuera y fuera No seas un Dave , una y otra y otra y otra vez.
Así que no; Cuando se trata de tratar realmente con contraseñas, debe asumir que Dave está codificando su sitio web.
Lea otras preguntas en las etiquetas hash