Ich glaube du siehst das aus dem falschen Blickwinkel.
Du hast zwar recht, theoretisch könnte man durch try & error die Zugangsdaten zu einem Benutzer herausfinden. Doch wie lange dauert dass?
Nehmen wir mal an der Benutzername ist bekannt, dann gilt es nur noch das Passwort zu erraten. Das Passwort ist sagen wir mal 8 Zeichen lang und könnte theoretisch aus 26 + 10 Zeichen bestehen (a-z 0-9). Groß und Kleinbuchstaben betrachten wir mal als gleich.
Es gibt also 36 * 36 * 36 * 36 * 36 * 36 * 36 * 36 Möglichkeiten. Das sind 2821109907456 Möglichkeiten -> 2.821.109.907.456 -> 2.8 Billionen (also Deutscher Schuldenstand 2013 :D)
Sagen wir mal der Angreifer schafft 1000 Anfrage pro Sekunde, dann braucht er immer noch 2.8 Milliarden Sekunden. Wenn ich mich nicht verrechnet habe wären das 5441 Jahre.
Und das nur für 1 Passwort. Für ein zweites Passwort bräuchte er nochmal so lange.
Je mehr Anfragen in der Sekunde an den Server verschickt werden, desto schneller kann man das Passwort natürlich knacken. Irgendwann geht jedoch der Server in die Knie.

Das war jetzt rein Theoretisch. Bei einer Unterscheidung zwischen Groß und Kleinbuchstaben wären es schon 26 + 26 + 10 Hoch 8 Möglichkeiten. Nimmt man Sonderzeichen hinzu sind es nochmals deutlich mehr. Und mit jeder Stelle des Passwortes erhöht sich die Wahrscheinlichkeit.

Deshalb erlaube ich mir die Aussage, dass ein Passwort übers Internet nicht per try & error erraten werden kann, wenn es genug Stellen aufweißt!!

jetzt könnt ihr meinen Post korrigieren :D

Gruß
Taschenrechneranbetender
T-Rex