Als een bedrijf wereldwijd een VPN-verbinding toestaat op de server, kan dat dan gebruteforced worden?

(Bij wachtwoorden korter dan 15 karakters.)

Sommige bedrijven gebruiken aanvullende beveiliging, zoals een USB-sleutel. Als echter *alleen* een wachtwoord en gebruikersnaam voldoende is: kan het dan altijd op afstand gebruteforced worden?

Natuurlijk kan de server de verbinding verbreken na bijv. 5 mislukte inlogpogingen, maar bruteforcen werkt heel anders volgens mij...