Nach etwa über 100 000 000 Versuchen hat man alle die "wichtigsten" durch.

Nachtrag: natürlich ist es auch nicht sicherer, 99 999 999 als 8-stelliges Password zu verwenden, weil es bei einem Brute-Force-Angriff am "längsten" durchhält.

Die Passwortliste könnte bei jedem Angriff dynamisch zufällig erstellt (oder zumindest teilweise) werden um "in der Mitte" beginnen. Somit ist man zwar im mittel bei zufälligen Passwörtern zwar theoretisch nicht schneller aber die Wahrscheinlichkeit dass jemand 00000001 oder 99999999 als Passwort hat ist einfach geringer als irgendwas zwischendrin - der Berechenbarkeit des Menschen hilft hierbei :)