Hace tiempo leí un articulo en el que hacían referencia al modo de evitar que puedan descifrar el hash con una función más lenta. De modo que el tiempo que tardaría el atacante en descifrar el hash construido con 8 carácteres alfanuméricos, aún habiendo conseguido la función utilizada, le consumiera 1000 veces más tiempo con una ataque de fuerza bruta.

De esta forma, lo que tardaría dos o tres días en descifrar un hash se convertiría en años.

Una inversión de tiempo poco práctica si se plantean descifrar una base de datos con varios cientos de miles de hashes.