porque si validas los password repetidos (o mejor dicho los hash repetidos), le estás dando a un hacker la posibilidad de encontrar al menos un hash válido y con ello poder vulnerar el sistema de seguridad.

realmente no importa si 2 usuarios tienen el mismo password, lo importante es que no se sepa que ocurre, porque imáginate que te registres en facebook por ejemplo y coloques de contraseña "migato" y te salte "contraseña duplicada", ya sabes que al menos un correo electrónico o usuario usa esa contraseña y por ahí puedes investigar la lista de usuarios y tratar de entrar, ¿porque crees que en facebook siempre hay grupos que intentan persuadirte para que les invites a todos tus amigos?: su objetivo es incrementar su lista de emails para spam entre otras cosas!!!