Я использовал эту библиотеку, и она мне очень нравится, но из того, что я прочитал, PBKDF2 немного более уязвим для атак методом грубой силы, чем bcrypt или scrypt. Я столкнулся с проблемой добавления поддержки скриптов, но, похоже, четкий ответ.
В идеале я хотел бы просто заменить функциональность PBKDF2, но я недостаточно знаком с внутренней работой SJCL, чтобы знать, возможно ли это.
Если бы это было возможно, вы могли бы довольно легко использовать что-то вроде этой реализации bcrypt на чистом JS.