Чтобы злоумышленник, если у него действительно оказалась база паролей, вместе с аккаунтом и почту не увёл. Если пароли совпадают. А так он не будет знать, к какому ящику этот пароль.
Знать то он может, адреса почты ведь тоже утекли, только это для него будет неактуально, если успеть сменить пароли до того, как он доберется до аккаунта. А вот если поменять почту, тогда он даже не будет знать, какой ящик ломать, чтобы получить доступ к акку
