Der Code geht überhaupt nicht auf irgendwas ein.

Das Wichtigste wird ja total ignoriert.
Passwortlänge, Anzahl der Zeichen, Welche Zeichen, in welcher Reihenfolge, ...

A
Z
AZ
AAAAA
AAAAAAAAAAAAAAA
AAAAAAAABAAAAAA
ISTHIERALLESDASSELBE
ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABBAABBAABBAABBAABBAABBAABBAABBAABBAABBAABBAABBAABBAABBAABBAABBAABBAABBAABBAABBAABBA

ist hier alles das Selbe

Hier mal ein paar Passwörter, mit welchen man die letzten 3 Tage versuchte meine Webseite zu hacken.
iloveyou / {meinedomain}321 / winner / {meinöffentlicherbenutzername}321
Daß man mit Bruteforce nicht schnell genug etwas erreicht, wissen selbst die dümmsten "Hacker".
Nur so doof, wie deren Versuche war selbst ich nicht, auch wenn meine Passwörter bei diversen "Passwortstärkeberechnungen" nicht gut abschneiden.
(bei einem meiner Passwörter meint dein Code Jahre=0.00000043 ... aber wer macht schon Bruteforce, vorallem wenn man nur maximal 120 Versuche am Tag hat ... da stimmen deine "Jahre" nun doch nicht )