Es matemáticamente posible hacer lo que están haciendo de manera segura para almacenar contraseñas de manera que habilite esa función pero no tenga la contraseña antigua almacenada en texto sin formato. Pero solo porque es matemáticamente posible, no significa que sea probable.
Encriptación homomórfica
En Eurocrypt 2004, Michael Freedman, Kobbi Nissim y Benny Pinkas presentó un documento que abordaba explícitamente cómo encontrar de manera eficiente la intersección de dos conjuntos sin revelar el contenido de ninguno de los conjuntos (aparte de la intersección) a cualquiera que no lo tuviera antes. También es posible encontrar una estimación del tamaño de la intersección sin siquiera revelar (mucho acerca de) la intersección en sí.
Ahora que fue en 2004 (y se basó en el trabajo anterior). Así que ha habido mejoras desde entonces en este y otros algoritmos relacionados. Así que hay técnicas conocidas para descubrir cuántos caracteres son comunes a dos conjuntos sin revelar el contenido de ninguno de ellos. (En el caso de que esté preguntando, es solo un conjunto, la contraseña antigua, que debe ocultarse ya que el sistema recibe la nueva contraseña completa).
Filtros Bloom
Si estamos hablando de la superposición de secuencias de cuatro caracteres (en lugar de solo caracteres en ambas contraseñas), una forma razonablemente segura de hacerlo es con un Filtro Bloom . Un filtro Bloom es un tipo especial de tabla hash. Cada subcadena de cuatro caracteres de la contraseña original podría agregarse al filtro Bloom cuando esa contraseña se entregue al servicio y luego se pueden buscar las cuatro subcadenas de caracteres de la nueva contraseña en el filtro Bloom.
Tenga en cuenta que los filtros Bloom están diseñados para cuando hay muchos miembros del conjunto y son probabilísticos. Pueden dar falsos positivos.
La respuesta obvia es tristemente correcta
Me sorprendería si el sitio en cuestión utiliza cifrado homomórfico o incluso filtros Bloom. Es casi seguro que lo hacen de una manera en que los operadores del sitio (y cualquiera que los infrinja) tengan acceso a las contraseñas de texto sin formato.