hashing lento ha lo scopo di rendere l'attività più difficile per gli aggressori offline , che potrebbero afferrare una copia del database delle password con hash. Un utente malintenzionato offline esegue la funzione di hash sulle proprie macchine. Un ritardo sul server è buono solo contro gli aggressori online , che "provano le password" inviando richieste al server onesto.
In pratica vuoi entrambi: un meccanismo di regolazione per bloccare gli attaccanti online (ad esempio un ritardo, ma preferibilmente qualcosa di un po 'più complesso per ostacolare gli attaccanti che provano molte password su molti account in parallelo), e un hashing lento (con sali) come seconda linea di difesa, contro gli attaccanti che potrebbero ottenere una vista di sola lettura delle password con hash memorizzate sul server.