Lass mal bitte Bruteforce aus dem Spiel. Das ist eine komplette Situation für sich.
Stell dir mal vor du müsstest dich an einem online-Account anmelden und hättest nur einen Versuch. Bei falscheingabe des Passworts wird der Account direkt gesperrt/gelöscht.

Bei "cc" könnte die Passworteingabe so lauten:
"Bitte geben Sie ein 5-9 stelliges Passwort ein, welches nur aus 'c's besteht, jedoch in der Länge variiert"
Möglichkeiten dies zu erraten: 20%

Bei "ab" könnte die Passworteingabe so lauten:
"Bitte geben Sie ein 5-9 stelliges Passwort ein, welches nur aus 'a's und 'b's besteht"
Möglichkeiten dies zu erraten: 0,001%

Wenn man jetzt wüsste, dass die Eingabemöglichkeiten gleich sind, dann kann man auch sagen die Passwörter sind gleich 'gut'.