es kommt schwer auf das Design der Hash-Generierung an. Normale Hash Funktionen sind leider zu schnell und damit sind Bruteforce/Wörterbuch Attacken ebenfalls sehr schnell durch. Der oftmals genannte Salt verlängert nicht die Rechenzeit, sondern verhindert nur die Nutzung von Hashtabellen (z.B. Rainbow Tables) und verhindert, dass man aufgrund des Hashes darauf schliessen kann ob jemand dasselbe Passwort (Klartext) hat.
Das einzige was hier etwas mehr Schutz verspricht sind PKDF Verfahren, welche die Hash Generierung extrem verteuern. Persönlich nutze ich sehr gern scrypt, da dieser Algo sehr rechenaufwändig ist.
Auf meinem recht alten Laptop kann ich gut 70000 Interationen mit SSHA512 pro Sekunde erzielen. Kommt hingegen scrypt ins Spiel sinkt die Zahl auf unter 20 Interationen pro Sekunde. Mache ich z.B 100 Runden mit scrypt dann dauert es gut eine Minute bis der Hash fertig gerechnet ist. 123456 ist zwar wirklich ein Idi-Passwort, aber bei entsprechenden Hash-Algos dauert eine Bruteforce Attacke darauf trotzdem sehr sehr lange
