Se você descartar captchas, tentar limites, bloqueios, etc... então sim. Você só precisa forçar a string de texto simples.

No entanto, isso leva tempo - no mínimo, é limitado pela taxa na qual o servidor responderá às solicitações de login. Mesmo que o desenvolvedor não adicione nenhuma medida para evitar a força bruta, o próprio servidor só pode passar pelo processo de criptografia + verificação tão rapidamente e só pode lidar com tantas solicitações paralelas.

Dito isto, é por isso que é importante

• Como usuário, use uma senha forte e difícil de forçar bruta
• Como desenvolvedor, tenha medidas adequadas para evitar a força bruta do seu processo de login

Senhas de hash e salting não são para proteger contra pessoas que forçam o processo de login natural (há outras coisas que protegem contra isso). Em vez disso, eles devem proteger contra o possível comprometimento do próprio armazenamento de senhas (por exemplo, alguém despejando o conteúdo do banco de dados).

Tanto o hashing quanto o salting servem para diminuir a velocidade em que alguém com acesso às senhas armazenadas pode recuperar a string de texto simples necessária para poder passar pelo processo de login natural (do seu site ou de outros sites , dado que as senhas são comumente compartilhadas entre sites) sem tropeçar em medidas de segurança anti-força bruta.