Non puoi attaccare un sistema protetto da crittografia senza avere accesso al sistema stesso.
Gli attacchi di questo tipo, dove vuoi provare tanti valori, non si fanno mai verso un server. Lo puoi fare se ottieni qualche informazione aggiuntiva: ad esempio, quando senti di database leakati (e.g.,
haveibeenpwned.com) tipicamente l'attaccante ottiene username, hash e salt. Solo a quel punto puoi sperare di fare un bruteforce o un attacco al dizionario (o un'altra miriade di attacchi più intelligenti). La cosa bella è che attaccare il sistema è generalmente estremamente più semplice che attaccare il meccanismo crittografico perché spesso sono configurati coi piedi, perché sono pieni di bug o ancora più semplicemente (pensando alle agenzie governative) perché basta presentarsi con gli SWAT.
Poi vabbé, come dice Mr. Aiden il bruteforce è vista un po' come l'ultima risorsa. Praticamente è un non-attacco per costruzione: le password e le chiavi sicure sono costruite con degli accorgimenti (e.g., lunghezza e varietà di simboli) che rendono quel genere di attacco improponibile.