Overkill secondo me. SHA256 utilizza 64 iterazioni di funzioni su un array di 8 colonne. SHA512 con 80 iterazioni su un array di 5 colonne. Non è necessario raddoppiare l'hash perché nessuno è stato ancora in grado di potenziare nessuno di questi. I tavoli arcobaleno non saranno utili a un attaccante finché c'è del sale.
Assumendo un input da 32 byte (che è ragionevole per il tuo caso - 20 byte salt + 12 byte di password) la mia macchina impiega ~ 0,22s (~ 2 ^ -2s) per i calcoli 65536 (= 2 ^ 16). Quindi i calcoli 2 ^ 256 verrebbero eseguiti in calcoli 2 ^ 240 * 2 ^ 16 che richiederebbero
2^240 * 2^-2 = 2^238 ~ 10^72s ~ 3,17 * 10^64 years
link
Quindi, per proteggere davvero te stesso, tutto ciò che devi fare è rendere grande la dimensione totale della tua stringa, come 32 byte, e non dovrai nemmeno preoccuparti di questo.
Controllalo per capire quanto pazze funzioni della serie SHA siano:
link