Честный кодировщик паролей аля BCrypt генерирует хэши очень долго - вплоть до нескольких сотен миллисекунд. Используйте в тестах кодировщик, который не делает ничего. В случае Spring это NoOpPasswordEncoder. В Spring Security 6.4 он задепрекейчен, но использовать его можно. Если станет нельзя - реализовать собственный не сложно.