根据我对密钥派生函数(KDF)的理解，例如scrypt、Argon2等，我们可以调整它们的参数，从而最终使攻击者更难强行强制密码到密钥。在这一点上，攻击者可以直接蛮力，如AES128，密钥。

最好不要过度调整KDF的参数，这样用户就不会在使用缓慢的应用程序时感到不必要的痛苦。我认为，如果只对KDF进行调优，使用户在使用AES128-CBC (或任何其他对称密码)时仍能最大限度地安全，这是非常理想的。

一个简单的方法是探索硬件和算法设计上的所有改进，以便估计某些资金充足的机构需要等待多长时间才能最终解密我的密码。但是，我认为这种方法是不必要的复杂，因为我认为我们可以通过从信息论的角度来研究KDF的计算界。

下面是一次尝试。我的问题是:我们能让它更紧吗？

到目前为止我所做的：

假设f是一个128位的加密/解密函数，而KDF函数是k。另外，假设一轮k等于f对单个块的加密/解密。假设我们的密码只有熵的70位。

所以强暴所有密钥的总尝试是2^{128}，而强暴密码的总尝试是2^{70}。由于f和k计算成本相等，所以强制密钥的实际成本是c \times 2^{128}，而密码是c \times 2^{70}。在这种情况下，对手显然会采取暴力强制密码。

为了使攻击者找不到更容易破解的密码，我们可以多次为r重复KDF D15，直到困难匹配为止。基本上：\begin{split} c2^{128} &= rc2^{70} \\ 2^{128} &= r2^{70} \\ \frac{2^{128}}{2^{70}} &= r \\ 2^{128-70} &= r \\ 2^{58} &= r \\ \end{split}

如果KDF k本身是通过递归调用k来实现的，那么这个c就可以得到保证，并且只需递归地重复足够长的时间，就可以保证通过KDF k强制口令的难度与具有128熵比特的强制密钥一样困难。

这意味着，如果是r > 2^{58}，那么攻击者会发现更容易直接强暴密钥。在这种情况下，攻击者会完全忽略KDF k，转而使用f的S键，换句话说，r>2^{58}是毫无意义的。

更新:上述内容也是作为白雪的一部分实现的。