Hur har mitt lösenord blivit knäckt?

Jag sökte på min e-postadress på https://leakpeek.com/ o fanns med där, ett av mina gamla lösenord kom upp i klartext, samt stod det källan till hacket.

Jag letade upp den läckta databasen, men när jag sökte på min adress i den, så kom bara e-postadressen upp tillsammans med ett hashat lösenord, så hur har dom fått fram lösenordet? Det är 12 tecken långt o en blandning mellan siffror o bokstäver (ej specialtecken).

Vissa läckor sker i själva systemet t.ex. att loggfiler med lösenord i klartext har läckt ut. Det kan alltså vara något av de system där du använt lösenordet som blivit knäckt så att både hash-versionen och lösenordet i klartext är kända, men det är bara det hashade som visas. En del krypteringar är rätt svaga och inte saltade dvs olika system använder samma kryptering.

Det kanske innehöll något som står i "ordlistor " detta är ett genererade säkrare lösenord som inte innehåller något för ordlista //

{Vo8dh)BKMUB

~M/!L9)(nEjz

utan specialtecken

70lwiue15sQ3

HnWLMU5Q0YjT

Detta anses som lågt lösenord som bara använder små bokstäver men ändå inte går i ordlista.

zihtxxeihwfx

Man skall kunna komma ihåg lösenordet också.

Kom o tänka på en grej när jag fortsatte gå igenom en massa läckta databaser, att i nästan samtliga fall där lösenordet visas i klartext, så består det av endast bokstäver o siffror, i princip aldrig inkluderande specialtecken.

Det ser man också om man söker på https://leakpeek.com/ Kan det vara så att man har brute-forcat alla lösenord så att de som inte har något specialtecken blivit knäckta? Antingen kört genom en ordlista eller testat aaa, aab, aac o.s.v? De som inte innehållit specialtecken har blivit knäckta? Mitt lösenord var ändå på 12 tecken, endast små bokstäver o siffror o fanns troligen inte med i nån ordlista. Hur lång tid skulle det ta att knäcka?

Om man använder lösenordsvalv/lösenordshanterare, så behöver man inte det.
Det är ju inte valven som blir hackade.