Si considera que una violación del servicio y las contraseñas se manejan adecuadamente en el lado de autenticación, el atacante que obtuvo acceso a la base de datos de contraseñas solo se queda con el ataque de fuerza bruta.
El ataque de fuerza bruta significa verificar exhaustivamente todas las posibilidades, pero no limita el método al más tonto "de 0000 a ZZZZ". Dicho esto, un atacante que espera que los usuarios creen varias cuentas con la misma contraseña puede modificar fácilmente el algoritmo para verificar todas las cuentas con cada contraseña descubierta.
Si esto es un problema depende de ti.
Si considera un ataque en el lado del cliente, un atacante necesita aprender una contraseña de entre varios pares de contraseñas de cuenta para aprender todos ellos.
Si inicia sesión en todas las cuentas desde la misma máquina, la superficie de ataque permanece constante, pero si usa una cuenta en un dispositivo móvil, la otra en una PC segura, entonces un dispositivo comprometido revela la información de todas las cuentas.
Nuevamente, dado que expresaste la idea significa que otras personas piensan en ella o lo hacen también, y un atacante probablemente se aprovecharía de eso (el costo es nulo).
Si esto es un problema depende de ti.