La ley de Moore se puede contrarrestar usando una derivación de tecla lenta. Por ejemplo, PBKDF2 convierte una contraseña en una clave aplicando muchas iteraciones de una función similar a un hash. Puede ajustar el número de iteraciones para que la operación aún sea tolerable en su computadora (por ejemplo, no demore más de un segundo). La ventaja del atacante es entonces el producto de su paciencia y su relativa riqueza: si el atacante puede tener un (grupo de) computadora (s) que es 1000 veces más potente que su propia máquina, y si la computadora está lista para invertir Una docena de días (1000000 segundos) de cómputo para romper su esquema de encriptación, luego el atacante podrá probar aproximadamente mil millones de contraseñas potenciales. Es posible memorizar contraseñas con una entropía más alta que eso (p. Ej., Contraseñas que consisten en dos letras, luego dos dígitos, luego dos letras, luego dos dígitos, como "qw04qr29" o "fm17zz05"), son memorizables y son de un espacio de aproximadamente 4.5 billones de contraseñas posibles).
En el lado positivo, la ventaja del atacante ya no depende de la ley de Moore, siempre que se mantenga actualizado el número de iteración (esto puede ser un problema para los secretos a largo plazo, por ejemplo, un atacante que intenta descifrar un cifrado archivo que copió hace diez años). En el lado oscuro, los usuarios típicos tienden a ser totalmente decepcionantes cuando se trata de memorizar contraseñas aparentemente "simples", o abstenerse de, por ejemplo, escribirlas en una nota adhesiva.
La criptografía asimétrica no resuelve el problema, solo lo mueve: ¿cómo proteger la clave privada del usuario? Una posible solución es almacenar un "secreto maestro" (por ejemplo, una clave privada asimétrica del usuario) en un dispositivo que limita arbitrariamente la tasa de "conjeturas" por parte de un atacante. Esta puede ser una tarjeta inteligente que simplemente se apaga después de tres códigos PIN incorrectos. Este puede ser un servidor que autentica a los usuarios con una contraseña, pero solo permite diez intentos por hora.