較短的密碼雜湊是否安全？

在密碼雜湊開始影響安全性之前，我可以縮短多少？

假設我使用帶有 HMAC-SHA256 作為 PRF 的 PBKDF2（正確加鹽）。據我所見，通常使用 256 位輸出，因為這與 PRF 的輸出相匹配。

我的直覺表明，如果將此輸出截斷為 128 位，則不會對安全造成影響。這個對嗎？我的理由是加鹽可以防止多目標攻擊，並且衝突在密碼驗證的上下文中並不重要。

我的直覺表明，如果將此輸出截斷為 128 位，則不會對安全造成影響。這個對嗎？我的理由是加鹽可以防止多目標攻擊，並且衝突在密碼驗證的上下文中並不重要。

正確，沒有實際的安全影響。散列函式的原像安全性對於密碼散列很重要，128 位的長度足以防止暴力原像搜尋。您甚至可能會比這更短，但數據庫空間通常很便宜，這就是為什麼使用完整的 256 位很常見的原因。

原則上，使用 129 位以上的熵密碼，您會失去一些安全性，因為尋找具有相同雜湊值的密碼的蠻力攻擊會變得更快。然而，這樣的密碼非常少見，即使理論上更快，暴力破解仍然是不可行的。

（如果在一些新的攻擊之後發現 SHA-256 非常弱，那麼所有的賭注都沒有了。這種攻擊可以允許對截斷的輸出進行更快的原像攻擊，或者不能。甚至可能是相反的情況。）

引用自：https://crypto.stackexchange.com/questions/29327