Multihilo y que cada uno acceda con una IP diferente igual cuela. Claro que, eso aumentaría los tiempos de conexión y si dices que usa cloudflare, lo mismo los acabe haciendo pasar un challange, aunque al mismo tiempo te saltas el limite.

Por otro lado, no sean escépticos, en la mayoría de los casos, no hace falta resolver el charset entero. Esos cálculos asumen que la contraseña es el ultimo charset generado de todas las posibilidades y todos sabemos que casi nunca (por no decir nunca) se da ese caso.

Yo lo intentaría antes con un diccionario.. los de fuerza bruta por generador son para cuando los diccionarios no funcionan. Hay muchos diccionarios en español y otros especialmente hechos para contraseñas de servicios web. Busquedas en Google facilitas.

Ahora que recuerdo, SMF aunque no recuerdo si era el 1.x o el 2.x guardaba el login del usuario en una COOKIE salteada con 4 caracteres. Lo mismo, en vez de hacer fuerza bruta al login, puedes generar strings sha1 aleatorios que suelen tener si o si 40 caracteres con el siguente esquema:


O si no te interesa un usuario en concreto simplemente generar hex de 40 caracteres de fijo.

Saludos

Bueno, la fuerza bruta tampoco te lo asegura. Por ejemplo, veo que has metido -, _ y . de caracteres pero no has metido @,ñ,Ñ,!,¡,$,€,<,> o & por mencionar algunos de los mas comunes.

En un principio si, en su momento cuando analice el código no guardaban ningún tipo de identificador de session (ip o navegador por ejemplo). Por tanto con generar la cookie correcta, logras una sesión. De todos modos, es cuestion de mirarlo puesto que es open source, te puedes descargar el codigo y analizarlo.

Saludos