Pués no...

Esto solo es cierto porque/cuando los sitios web (incluídos S.O., juego y programas en general), están mal diseñados.

Cada vez que se introduce una contraseña, el sistema debería demorar 100ms. como mínimo en devolver el resultado... tanto si acertó como si falló. 100ms. para un usuario es algo nulo, es 1/3 de un pestañeo, un retraso inapreciable.
 
Es decir los algoritmos de verificación, de contraseñas, son precisamente los únicos (probablemente), que no debe ser diseñado óptimamente para la velocidad, incluso es preferible que añada una demora en la respuesta. Así da igual lo potente que sea un equipo, si la demora es forzosa de 100ms. sólo se podrán probar 10 contraseñas por segundos, 36.000 por hora... así que una contraseña de 8 caracteres aún requerírá una cantidad enorme de tiempo, sim importar si tienes 8 tarjetas gráficas o un millón. Es más trabajando sobre un mismo servidor, el propio servidor debería denegar una nueva petición para el mismo origen y/o destino como mínimo hasta no servir la atención previa.... si bien denegarlo para el destino, no está exento de problemática, porque entonces se convertiría en una técnica de bloqueo (cuando se tratase de un servidor remoto accesible desde múltiples partes).

Están confundiendo las cosas por aquí.

HashCat  es una herramienta para Lammer.

¿Qué servicio, Email, Facebook ....puede utilizar fuerza bruta?
Con pocos intentos, necesita recuperar contraseñas, por correo electrónico o por teléfono, otros necesitan captcha de seguridad.


Fuerza bruta sólo fuera de línea, y no a nada especial de 8 caracteres en 2.5 horas. Necesitas una computadora buena sólo.

crackear cualquier contraseña de ocho caracteres
No crack, fuerza bruta

Saludos

¡Hola NEBIRE
Mi post no se conecta a la suya.


Usted no entiende, voy a explicar de nuevo.
En el post, habla sobre fuerza bruta usando hashcat.
Y habló el ejemplo de Facebbok acepta 6 caracteres

Pero los servicios de red, como la red social, no aceptan la fuerza bruta.

Saludos