(初めてで使い方がわからず変な文章を投稿してしまいすみません。編集依頼くださった方々ありがとうございました。)

前提

Webアプリケーションのパスワード送信･保存時におけるパスワードの不可逆暗号化(ハッシュ化)のストレッチングについてです。その他SSL/TSL，salt付与等は行うものとします。

Webアプリケーションのセキュリティについて様々なページを読んでいて、ストレッチングというものがあったのですが、これの目的はハッシュ化されたパスワードが漏洩した場合、処理に時間をかけることでパスワードの総当り(または辞書)攻撃を防ぐものだと理解しました。

質問の主題

ここで質問なのですが、「ストレッチングをする時サーバーの負荷と相談し回数を決定(多いほど良い)」と言われているようですが、これを負荷軽減のためにある程度クライアントで行い、これをパスワードとして認証するのはまずいのでしょうか。実装にもそこまでリスクはないですし、ユーザーから見た時間的な差異は大きくないと思います。

###具体例

パスワード入力から保存までの具体的な処理としては、

クライアント側
1, パスワードを入力(変数passとする)
2, passをハッシュ化する × 10,000回 (結果をpass_chとする)
3, pass_ch(とuserId)をSSL通信でサーバーに送る

サーバー側
4, salt値を決める
5, 送られてきたpass_chとsalt値を合わせてハッシュ化する(結果をpass_shとする)
6, pass_shとsalt(とuserId)をDBに保存する

が、自分の考えた処理です。具体例として提示しました。

###思いつくデメリットと解決策

自分の思いつくデメリットは、
①パスワードが適切なものかの判別(文字数が適切か，"aaaa","pass"等をはじく)が必ずしもできない
↑必然的にクライアントで判別することになるため、JavaScriptをいじられてしまったらパスワードが"aaaa"でも通ってしまう

なのですが、①に関してはわざわざJavaScriptをいじってまでパスワードを短くしたい人は少ないですし、そうした場合でもsaltを付与してハッシュしているのでレインボーテーブルもある程度無効化できると考えています。

###まとめ

よってストレッチングを、処理の集中するサーバーサイドで行わず、クライアントサイドで各々実行する事について、デメリット等あるのか質問させていただきます。またその他自分の認識で間違いがありましたら、御手数ですが教えていただけると嬉しいです。

長くなりましたが、有識者様の意見が聞きたく質問させて頂きました。拙い文章で申し訳ありません、よろしくお願いします。