Se recomienda generalmente que se use una función hash lenta para las contraseñas de hash. Sin embargo, ¿esto crea un riesgo DoS?
Podrías, además de usar una función hash lenta, limitar el número de solicitudes por segundo que un usuario en particular podría enviar. Por ejemplo, si obtiene 30 solicitudes de inicio de sesión fallidas de una dirección IP particular, entonces podría retrasar las respuestas a esa dirección o eliminarlas todas juntas.
Las funciones hash ralentizadas están diseñadas para que no sea práctico llevar a cabo un ataque de fuerza bruta si un atacante tiene acceso a la base de datos de contraseñas. También debe haber precauciones integradas en el servidor.
Lea otras preguntas en las etiquetas passwords hash denial-of-service