O MS-CHAPv2 está completamente corrompido (veja link ).
A complexidade de recuperar o hash NTLM pode ser reduzida à de brute-force cracking uma chave de criptografia DES, o que significa que a complexidade da senha agora é irrelevante (contanto que você esteja interessado apenas no hash NTLM e não a senha em si - e, na maioria dos casos, você seria: o hash é tudo o que é necessário para autenticar com o MS-CHAPv2, recuperar chaves de sessão derivadas do MPPE, etc.).
tl; dr: Agora é absolutamente possível quebrar um par de desafio / resposta MS-CHAPv2 gravado. Se a segurança é de algum interesse para você, use outra coisa.