使用专用硬件快速计算大量哈希的能力是密码哈希的一个问题，但不是一个新问题。在专用于 SHA-256 的 ASIC 出现之前，我们已经将FPGA考虑在内（例如，参见这台研究机器，从五年前开始）。ASIC 的时钟频率大致可以是等效 FPGA 频率的两到三倍；大规模生产进一步降低了成本。这不会从质量上改变情况，但它肯定会增强攻击者，比如 3 位或熵。

当然，密码散列的简单 SHA-256 不是一个好主意；即使攻击者“只有”经典 PC，它也太快了；我假设我们在这里谈论的是PBKDF2，这是一种慢速散列结构，它依赖于底层 PRF，通常是HMAC，它本身是建立在诸如 SHA-256 之类的散列函数之上的。

理论已经表明，在所有其他条件相同的情况下，密码散列应该使用在硬件上最有效的底层散列函数，该函数将在“诚实的系统”（即 PC）中处理它。这就是 bcrypt 或 scrypt 等散列函数的意义所在。如果您想坚持使用 PBKDF2，则使用 SHA-512 将是一个好主意，因为 SHA-512 使用大量 64 位算术运算，这是现代 PC 非常擅长的，但 GPU 却很糟糕。专门研究 SHA-256 的 ASIC 不会更改该建议。

SHA256从未被认为是密码散列的安全算法。使用bcrypt,pbkdf2或scrypt代替。

见这是惊人的答案被@ThomasPornin以获取更多信息。

ASIC 通常是 OTP（一次性可编程[它们直接由晶圆制成]），因此您不能对其重新编程（例如切换到 SHA1 或实施 HMAC）并使用它们进行破解。比特币使用两次迭代的 SHA256（挖矿），这在安全考虑方面毫无用处。

请参阅有关 ASIC的维基百科