Hola amigo #!drvy, excelente información brindada pero quiero decirte algo, tú código de curl y fuerza bruta tiene un pequeño problema que no logro captar, y es que al poner el campo contraseña como STRING en el archivo prueba.php
EJEMPLO: if($user == "Aitor" && $password == "1a0") ya no me funciona el script correctamente, al menos que en archivo de texto passwords coloque la contraseña al final es que la valida, del resto no, solo aplica para enteros.

¿Qué pudiera ser eso?

PD: Es un proyecto que hago y te aclaro que apliqué la misma sitaxis de código pero con inyecciones SQL y me va perfectamente pero el problema es para cuando hay usuarios y contraseñas. Yo ya llevé este código a base de datos y todo lo demás, pero el error está en esta porción que muestras acá.

Espero su ayuda por favor.