PBKDF2（Password-Based Key Derivation Function 2，基于密码的密钥派生函数2）是一种通过盐值（Salt）和多次迭代哈希将弱密码转化为高强度密钥的算法。它由RSA实验室发布，被纳入PKCS #5和RFC 2898标准，广泛应用于密码存储、磁盘加密（如BitLocker、FileVault）、Wi-Fi WPA/WPA2安全等领域。其核心思想是通过刻意增加计算成本来抵御暴力破解和彩虹表攻击。

盐值的核心作用：
① 防止彩虹表攻击：即使两个用户使用相同密码，由于盐值不同，派生出的密钥也完全不同，预计算的彩虹表完全失效。
② 增加唯一性：每个密码实例都有独特的盐值，攻击者必须为每个盐值单独发起攻击。
③ 隐藏密码复用：相同的密码在不同系统中产生不同的密钥，防止跨系统关联。
最佳实践：盐值应为密码学安全的随机数，长度至少16字节（128位），并以明文形式与派生结果一起存储。

迭代次数直接影响安全性和性能。OWASP（开放Web应用安全项目）的建议：
• SHA-256：至少 600,000 次
• SHA-512：至少 210,000 次
• SHA-1：不推荐使用（已被破解）

一般原则：迭代次数应设置为您系统能承受的最高值，在用户体验和安全之间取得平衡。100,000次是许多系统的起点，但对于高安全性场景建议使用更高值。请注意，PBKDF2在高迭代次数下对CPU消耗较大，移动设备或低性能环境需适当调低。

• PBKDF2：最广泛支持的标准化方案，NIST/FIPS认证，硬件加速友好，但不抗GPU/FPGA并行攻击。
• bcrypt：基于Blowfish，内置盐值，抗GPU攻击能力优于PBKDF2，但内存占用固定。
• scrypt：内存密集型设计，同时抗CPU和GPU并行攻击，但参数调优复杂。
• Argon2：2015年密码哈希竞赛冠军，提供Argon2d/Argon2i/Argon2id三种模式，当前最推荐的密码哈希方案。

选择建议：如需FIPS合规或广泛兼容性选PBKDF2；新项目优先考虑Argon2id；传统系统升级可考虑bcrypt。

PBKDF2被广泛应用于各类安全系统中：
• 密码管理器（如浏览器密码存储）
• 磁盘加密（BitLocker、FileVault、LUKS）
• Wi-Fi安全（WPA/WPA2-PSK的4次握手）
• 数据库密码存储（许多Web框架的默认方案）
• 密钥派生（从用户密码生成AES等加密算法的密钥材料）
• 区块链钱包（BIP39助记词到种子的派生）
因其广泛的标准化支持和可审计性，PBKDF2在企业级和合规性要求高的场景中仍然是首选方案。

典型的存储格式为：
alg:iterations:salt(hex):derived_key(hex)
例如：pbkdf2:sha256:100000:a1b2c3d4...:e5f6g7h8...

这种格式清晰记录了所有恢复密钥所需的信息（盐值是公开的，可以安全存储）。许多加密库（如Passlib）采用类似的模块化密码格式。在生产环境中，应使用经过充分审计的密码哈希库来处理存储和验证，不要自行实现密码存储逻辑。

本工具使用浏览器内置的 Web Crypto API（crypto.subtle.deriveBits）实现PBKDF2。这是浏览器原生提供的密码学接口，经过严格的安全审计，所有计算均在本地完成，密码和派生结果不会发送到任何服务器。

安全提示：虽然工具本身安全，但请注意使用环境——避免在公共电脑上操作敏感密码，确保浏览器和操作系统保持最新，使用HTTPS连接（Web Crypto API要求安全上下文）。