Sí. Debido a los ataques de texto sin formato conocidos, un adversario que puede encontrar el texto en claro puede usarlo para descubrir el hash para descifrar los textos cifrados que el adversario no tiene el texto en claro.
AES está diseñado específicamente para evitar que un atacante descubra la clave, incluso si conoce tanto el texto plano como el texto cifrado.
Si desea obtener un rendimiento y seguir utilizando XOR, sería adecuado agregar caracteres aleatorios a la contraseña y luego incluir estos caracteres con el mensaje.
Por ejemplo, para cifrar M, generas un nonce aleatorio N.
Entonces usas:
PBKDF2 (Contraseña + N) xor M = C
Enviar NC al destinatario
NC se descifra al seleccionar el nonce, y luego el destinatario proporciona la contraseña precompartida, por lo que
PBKDF2 (Contraseña + N) xo C = M.
Para averiguar la clave de un mensaje cifrado con XOR + PBKDF2 (Contraseña + A), y tener un texto plano y un texto cifrado pertenecientes a PBKDF2 (Contraseña + N), aún tendría que descifrar el PBKDF2 usando fuerza bruta simple.