Insertar la sal (sí, se debe hablar de eso), e iterar la función al mismo tiempo, es un poco más complicado de lo que generalmente aparece. En particular, una función hash como SHA-256 no es exactamente una función "similar a un oráculo aleatorio"; Exhibe alguna estructura interna. Cualquier construcción casera podría golpear uno de esos detalles finos de los que pueden surgir debilidades mortales.
Asegurarse de que lo hiciste bien es difícil, al igual que crear cualquier algoritmo criptográfico. Ahí es donde bcrypt es mejor que cualquier construcción casera: bcrypt se ha publicado y está en uso y, presumiblemente, ha sido inspeccionado por muchas personas durante bastante tiempo. Esta es básicamente la única medida de seguridad que puede obtener en la criptografía. El consejo genérico de "no defina sus propios algoritmos" se aplica aquí también.