Warum dürfen eigentlich nicht 2 User das selbe Paßwort besitzen?

Ist das nicht sogar potentiell gefährlich? Ich muss "nur" ein mal alle Passwörter bruteforcen und weiss dann welche in der Datenbank stehen. Und nur die muss ich dann noch für jeden User ausprobieren.