Bruteforce bringt nur was, wenn du die Lösung kennst, oder eine Rückkopplung ales "ja, das ist richtig" bekommst.

wenn es zu "jedem" Passwort/Passworthast ein Prüfwort gibt, plausibles Prüfwort gibt, dann kann ein Programm daraus nicht erkennen, ob das gewählte Passwort richtig ist.

Wenn man das Lösugswort verschlüsselt und es bei der Entschlüsselung viele Prüfwörter gibt, welche kein plausibles Wort ergeben, dann könnte man in solchen Fällen davon ausgehen, daß das gewählte Paswort falsch ist und muß nur noch von den wenigen übriggebliebenen Passwort-Prüfwort-Kombinationen auswählen.

OK, bei z.B. einem MD5-Hash für das Prüfwort, gäbe es unmassen an theoretischen Prüfwörtern, aber wenn man davon ausgeht, daß der Benutzer sich nur verschreibt und nicht was vollkommen anderes eintippt, könnte man dieses auf eine kleinere Liste kürzen, mehreren Hashs das selbe Prüfwort geben.
hieße dann ein Prüfwort für mehere (unterschiedliche) Passwörter, also für Bruteforce würde es noch schwieriger, wenn man überhaupt einen angriffspunkt auf das Prüfwort hätte und die Wortliste würde klein genug.

Das Prüfwort soll ja nur ein Hinweis für den EINEN Benutzer sein, ob er sich "etwas" vertippt hat.
Wenn man aber das Prüfwort nicht direkt mit der Verschlüsselung verbindet und es keine Möglichkeit gibt rauszufinden welches der möglichen Lösungswörter richtig wäre, dann kann man darüber doch auch keinen Angriff starten.