Хеш (любого рода и солёности) от мастер-пароля

подбирать будут основной пароль. остальное не важно

Пароль по методу xkcd)

Можно даже взять какой-нибудь словарик частот слов очень большой и выбирать из него

словарь

ну и взломщик так же

Удачи ему

4 слова на английском и словарь бесполезен

ты не вспомнишь слово дальше 30к по частотности

Я понял, что Вы имели в виду. Однако, мне кажется, что Вы или забыли, или не поняли, для чего всё это мне нужно: хеш от парольной фразы используется в качестве пароля для входа на сервер (почтовый, например). Предполагается использование или очень длинной парольной фразы символов на 20-30, или случайного мастер-пароля символов на 10-15. То есть, изначально исхожу из того, что мастер-пароля/парольной фразы нет в словарях и его придётся брутфорсить.

А брутфорсить пароль длиной 22 символа (5.5*4) тоже дело небыстрое

А чем это принципиально отличается от хеширования?

В принципе ничем)

Даже 20к если брать
Будет ~1.6*(10^17) вариантов из 4 слов

Можно взять пять слов, если не нравится)

Хеш-функцию я взял только из-за того, что их реализаций в интернете вагон и маленькая тележка. Но их можно заменить любым генератором псевдослучайных чисел (даже тем, который в качестве ГПСЧ не разрабатывался): например, стойкие шифры гаммирования (тот же RC4, как ГПСЧ, вполне подойдёт, но уже не подойдёт как собственно шифр) или g^x mod P.

Кстати, а гугл в строке поиска умеет считать степень по модулю?

Итак, правильно ли я понимаю, что успех затеи найти прообраз хеша полным перебором напрямую зависит от самого прообраза, да? Если в распоряжении злоумышленника есть только часть хеша, то найти прообраз какого-то конкретного - ему по определению неизвестного - будет ещё в разы сложнее, да?

Да, найти прообраз это очень сложно

Мне нужна реализация и на мобильнике: Нокия 6020. Она такую тяжёлую функцию нивжисть не потянет. :-(((
А вот SHA-256 - вполне.