On parle évidemment d’attaque à froid à partir d’une base de données qui a fuité. Sinon on ne parlerait pas de centaines de millions de tests à la seconde, ni même de faire des calculs de hash.

SHA ou Argon2 ça fait d’énormes différences, mais ça ne reste qu’un coefficient et ça ne change en rien le fond du message « emmerder l’utilisateur avec des symboles et tout le tralala n’a qu’une influence marginale dans un calcul de complexité ». Voir le tout premier commentaire du billet.