und daher einfach alle Kombinationen durchzuprobieren hat.
                     ^^^^
Das ist genau der Irrtum. Man muss nur so lange probieren, bis man es gefunden hat. "Alle" ist aus Deiner Sicht das Best-Case-Szenario, aber das ist bei der Sicherheit eines Krypto-Systems uninteressant.

Ums mal mit anderen Worten zu formulieren:

Ein potentieller Angreifer wird zuerst alle Zahlenkombinantionen mit 4 bis 8 Stellen durchprobieren - die viele Benutzer verwenden Teile Ihres Geburtsdatums oder vergleichbares verwenden. Ebenso werden Kombinationen wie abc123, 12345 oder asdf ganz weit oben in den Wortlisten stehen.

Nach etwa über 100 000 000 Versuchen hat man alle die "wichtigsten" durch.