Bene, l'hai detto tu. Il conteggio corretto è esattamente il conteggio che "non fa rallentare il server fino alla scansione". Vuoi che sia il più alto possibile, dato l'hardware che utilizzi e il carico medio previsto. Come ha detto @Jeff, si tratta di un punto di riferimento.
L'intero concetto consiste nel rendere lento il processo di hashing della password per l'utente malintenzionato. Questo lo rende lento per chiunque, incluso te, quindi non puoi farlo come vorresti. Il principio al lavoro qui è che la tua nozione di costo, e quella dell'attaccante, non sono esattamente proporzionali: un aumento di costo di 1000x è "gratuito" per te se significa che spenderai 1ms anziché 1μs per autenticare un utente, considerando trasformare un attacco di 1 ora in un attacco di 6 settimane è certamente non gratis per l'attaccante.