Voy a hacer más publicidad a Security by default (juro que no tengo nada que ver con ellos, simplemente es un blog que me gusta), hicieron un artículo para ver cuanto tiempo aguantaban un ataque de fuerza bruta varios algorítmos y al parecer phpass fue el que más aguantó.