> ... DES на помойку? Он же уже давно тупым перебором на небольшом кластере за неделю крякаетсяЧистый DES - да. А те же crypt(3) хеши на основе DES - уже не тупым перебором и/или не всего набора возможных паролей (а лишь части). Если неделю умножить на 25 итераций DES и на 4096 salt'ов (т.е. если задача - подобрать все пароли к базе из хотя бы тысяч хешей) - то получим почти 2000 лет. Обычно задача так не ставится, да и "неделя" может быть сокращена во много раз на более подходящем железе, но все же отличие DES от DES-based crypt(3) есть существенное. Из более реальных задач - выявление паролей, не соответствующих требованиям - см. мой комментарий выше. Также, не у каждого аудитора (на соответствие требованиям PCI DSS и т.п.) всегда есть под рукой кластер.
Модификация crypt(3) в BSDI, а также FreeSec (код, присутствующий в основных *BSD, а также в недавних версиях PHP), поддерживает настраиваемое количество итераций DES и не имеет ограничения на длину пароля. Умолчание в BSDI было 725 итераций (т.е. в 29 раз медленнее обычного). В 1998 году, незадолго до ухода на bcrypt, я выставлял на системах 20 тысяч итераций. Такие хеши довольно редки, но они встречаются. phpass их использует, когда CRYPT_BLOWFISH нет, а CRYPT_EXT_DES есть (названия в терминах PHP). (Количество итераций он выставляет в тысячи. Конкретное количество зависит от настроек приложения.) JtR их поддерживает (с недавними изменениями - чуточку быстрее).
Также, DES обладает некоторыми хорошими свойствами для аппаратных (FPGA, ASIC) и программных реализаций (bitslice) - маленький размер, эффективное использование LUT'ов (в частности, на Virtex-6), масштабируемость на любую длину SIMD вектора (благодаря эффективным bitslice реализациям). А маленький размер ключа и блока корректируются способом использования. Мы всерьез рассматриваем DES как возможный компонент для нового метода хеширования паролей (см. мои ссылки на crypt-dev). AES и SHA-2 сложно составить конкуренцию DES, когда речь идет о том какую производительность мы получим на один FPGA-чип в сравнении с реализацией на CPU.