конечно возможно взломать, вариант ничем особо не отличается от варианта просто пароль, также все ломается перебором.
и уж точно он гораздо менее безопасен чем вариант пароль + нормальная соль.
ps вы же понимаете что у 99% юзеров: пароль==слово и у большей части к тому же это слова из топ1000 популярных паролей ну максимум даты рождения свои или родственников.
это во первых а во вторых два этих слова браузер не сохранит в хранилище паролей в итоге у ваших юзеров постоянно будут проблемы со входом на сайт.
в третьих очень сложно запомнить и пароль и слово и не перепутать их местами, это еще в вдвойне усугубляет п2.
итого для юзеров создается огромный геморой только из-за того что вы поленились одно поле в базу добавить. а безопасности особо нет.
