Z doświadczenia powiem tak, nie łam haseł nigdy! - dlaczego? - bo jeśli jest to inteligentny serwis po 3 próbach dostaniesz bana na godz albo więcej.
Po 1. w hydrze do łamania ustawia się login nie hasło (zasady budowania stron) - choć czasem też kończy się jakimś banem
po 2. Szukaj na stronie błędów typu LFI, RFI, XSS, SQLI itp
po 3. zrób jakiś phishing na użytkownika, jeśli jakiegoś znasz
Generalnie zasada jest taka: hydra, cain itp do łamania haseł używa się tylko wtedy jeśli posiadasz hash, baze już na dysku - nie ryzykujesz wtedy, że ktoś Cię zablokuje.
P.S.
Zapomniałem, możesz jeszcze wykorzystać jakieś błędy typu business intelligence - np. przy odzyskiwaniu hasła - czy taki jest nie wiem nie chce mi się sprawdzać.
P.S.
Choć i tak mam wrażenie, że to olejesz.