Los dos grandes son el diccionario y la fuerza bruta. Como saben, la fuerza bruta es bastante ineficiente cuando el número de caracteres aumenta. Claro que la gente podría desarrollar un análisis estadístico para descifrar contraseñas, pero la verdad es que a nadie le importa. La mayoría de las contraseñas no se obtienen de las contraseñas que se descifran, sino que se diseñan socialmente. Aquellos que no son de ingeniería social están resquebrajados por una vulnerabilidad en el código, o por tomar de una base de datos que probablemente no saltó los hashes.
Por ejemplo, en las noticias de estos días, las personas están volcando archivos de contraseñas en el rango de MB, ninguna de esas contraseñas fue forzada o descifrada.
Ahora, si nos fijamos en las herramientas comunes de descifrado de contraseñas, por ejemplo, John the Ripper (mi favorito personal), verá que realmente no emplea ninguna técnica "inteligente". Puede usar la fuerza bruta, puede usar un diccionario (u otra lista de palabras), o puede usar contraseñas comunes principales.
En el futuro, podría ver que los crackers de contraseñas se personalizan (como los medicamentos), no quieres tener una gran lista de contraseñas que un objetivo nunca pensaría, quieres apuntar a esa persona y sabes algo sobre esto persona. Podría darle a su herramienta el nombre de un sitio de redes sociales y solicitar que extraiga datos, abstrayendo contraseñas. O puede darle otra información personal.
Una cosa a tener en cuenta es que siempre es más fácil atacar a la persona que a la máquina (en general). Esos son mis dos centavos en esto.