NIST то, оказывается, рекомендует Balloon

https://scottarc.blog/2024/06/17/the-quest-for-the-gargon/
https://pages.nist.gov/800-63-3/sp800-63b.html
https://eprint.iacr.org/2016/027
Человек недоволен тем, что у NIST-а нет стандартизованных функций
хэширования пароля, чтобы напрягалась память, а не только процессор.
У нас, в ГОСТах, тоже нет ничего сильнее PBKDF2, что печально.

Но автор также тыкает в предложение NIST-а по рекомендации Balloon
функции. Совершенно не знал про это! Argon2 безусловно лучше чем PBKDF2,
но меня напрягает то, что это не конструкция "над" уже имеющимися хэшами.
Вот если в PBKDF2 засунуть Стрибог, то это пройдёт любую сертификацию. И
Argon2 внутри себя жёстко использует BLAKE2.

Balloon же мне нравится уже очень давно
(63f0684718f9df423be8268159684c788c052ab6) тем, что он не диктует какой
хэш использовать и его алгоритм относительно прост и быстро реализуется.
Поэтому я во многих своих проектах (GoVPN, NNCP например) использую
именно его (63f0684718f9df423be8268159684c788c052ab6), а не Argon2.
Balloon, судя по документу на IACR, имеет меньше потенциальных проблем
чем Argon2. То есть, безопаснее, проще и не зависит от конкретной хэш
функции. Вот и NIST его рекомендуют.