La legge di Moore può essere neutralizzata usando una derivazione a chiave lenta. Ad esempio, PBKDF2 trasforma una password in una chiave applicando molte iterazioni di una funzione simile a un hash. È possibile ottimizzare il numero di iterazioni in modo che l'operazione sia ancora tollerabile sul computer (ad esempio, non richiede più di un secondo). Il vantaggio dell'attaccante è quindi il prodotto della sua pazienza e della sua relativa ricchezza: se l'attaccante può avere un (gruppo di) computer (i) che è 1000 volte più potente della tua stessa macchina, e se il computer è pronto per investire una dozzina di giorni (1000000 secondi) di calcolo per rompere il tuo schema di crittografia, quindi l'aggressore sarà in grado di provare circa 1 miliardo di potenziali password. È possibile memorizzare le password con un'entropia più alta di quella (ad esempio le password costituite da due lettere, quindi due cifre, quindi due lettere, quindi due cifre, come "qw04qr29" o "fm17zz05", sono memorizzabili e provengono da uno spazio di circa 4,5 miliardi di password possibili).
Sul lato positivo, il vantaggio dell'attaccante non dipende più dalla legge di Moore, purché si mantenga aggiornato il numero di iterazione (questo può essere un problema per i segreti a lungo termine, ad esempio un utente malintenzionato che tenta di crackare un codice crittografato file che ha copiato dieci anni fa). Dal lato oscuro, gli utenti tipici hanno la tendenza ad essere deludenti quando si tratta di memorizzare password apparentemente "semplici", o di astenersi, per esempio, scrivendole su una nota adesiva.
La crittografia asimmetrica non risolve il problema, ma lo sposta semplicemente: come proteggi la chiave privata dell'utente? Una possibile soluzione è quella di memorizzare un "master secret" (ad esempio una chiave privata asimmetrica dell'utente) in un dispositivo che limita arbitrariamente il tasso di "ipotesi" da parte di un utente malintenzionato. Può trattarsi di una smartcard che si spegne semplicemente dopo tre codici PIN errati. Questo può essere un server che autentica gli utenti con una password ma consente solo dieci tentativi all'ora.