Должен ли я предпочесть хэш-алгоритмы с более длинными выходами для хранения паролей?

Для хранения паролей вам понадобится нечто большее, чем простая хеш-функция; тебе нужно:

• чрезвычайно медленная хеш-функция (так что атаки грубой силы более сложны)
• и соль: общеизвестное значение, хранящееся в хеш-коде, индивидуальное для каждого хеш-пароля и входящее в процесс хеширования пароля. Соль не позволяет злоумышленнику эффективно атаковать несколько паролей (например, с использованием предварительно вычисленных хэш-таблиц).

Итак, вам нужен bcrypt.

Для точки размера выходного хэша: если этот размер составляет n бит, тогда n должен быть таким, чтобы злоумышленник не мог реально вычислить хеш-функцию 2 ⁿ раз; 80 бит для этого вполне достаточно. Таким образом, выход в 128 бит уже является излишним. Вы все равно не захотите использовать MD5, потому что это слишком быстро (хотя 100000 вложенных вызовов MD5 могут быть достаточно медленными) и потому, что в MD5 были обнаружены некоторые структурные недостатки, которые напрямую не влияют на его безопасность для хеширования паролей, но тем не менее плохие связи с общественностью. В любом случае вы должны использовать bcrypt, а не самодельную структуру.

Некоторые ответы здесь дают вам сомнительный совет. Я рекомендую вам зайти на IT Security Stack Exchange и выполнить поиск по запросу «хеширование паролей». Вы найдете множество советов, и большая часть из них была тщательно проверена людьми на бирже стека безопасности. Или вы можете просто послушать @Thomas Pornin, кто знает, о чем он говорит.

Коллизии не имеют отношения к вашему сценарию, поэтому слабые стороны MD5 не актуальны. Однако самое главное - использовать хэш, вычисление которого занимает много времени. Прочтите http://codahale.com/how-to-safely-store-a-password/ и http://www.jasypt.org/howtoencryptuserpasswords.html (даже если вы не используете Java, методы все еще действительны).

В любом случае я бы держался подальше от MD5, поскольку есть и другие хеши, которые работают так же хорошо.