In genere si consiglia di utilizzare una lenta funzione hash per le password hash. Tuttavia, questo crea un rischio DoS?
Potresti, oltre a usare una lenta funzione hash, limitare il numero di richieste al secondo che un particolare utente potrebbe inviare. Ad esempio, se ricevi 30 richieste di accesso non riuscite da un particolare indirizzo IP, puoi ritirare le risposte a quell'indirizzo o eliminarle tutte insieme.
Le funzioni di hash di rallentamento sono progettate per rendere poco pratico l'esecuzione di un attacco di forza bruta se un utente malintenzionato accede al database delle password. Dovrebbero esserci comunque delle precauzioni integrate nel server.
Leggi altre domande sui tag passwords hash denial-of-service