Aus dem Hash kannst du eh keine Schlussfolgerung ziehen (wenn es ein geeigneter ist) und die Länge ist immer gleich.
Gehackt wirst du in der Praxis durch eine Wörterbuchattacke, ein Datenleck, oder mit einem Klappmesser am Hals. Wobei bei einer Wörterbuchattacke eine Wiederholung des gleichen Passworts (z.b. "Schlumpf") wahrscheinlicher erraten werden kann als eine 21-stellige Passphrase (z.B. "SchlumpfineMachtGanzWildeSachen").