Inserire il sale (sì, deve essere discusso), e iterare la funzione allo stesso tempo, è un po 'più complicato di quello che appare di solito. In particolare, una funzione di hash come SHA-256 non è esattamente una funzione "random-oracle-like"; mostra una struttura interna. Qualsiasi costrutto fatto in casa potrebbe colpire uno di quei piccoli dettagli dai quali potrebbero emergere debolezze fatali.
Assicurarsi di averlo fatto bene è difficile, proprio come costruire un algoritmo crittografico. È in questo che bcrypt è migliore di qualsiasi altro costrutto fatto in casa: bcrypt è stato pubblicato e in uso e presumibilmente ispezionato da molte persone per un certo periodo di tempo. Questa è fondamentalmente l'unica misura di sicurezza che è possibile ottenere in crittografia. Anche qui il consiglio generico di "non definire i propri algoritmi".