PHP-ban is lehet stringbe szerializálni, meg vissza. Hogy kapja Béla a jelszót? Ha egy webes felületen belép, visszakapja cookie-ban, URL-ben. Vagy megkaphatja emailben is az URL-t, amire rögtön rákattint. Szóban/SMS-ben már nem lehet ilyet közlekedtetni, az biztos.
Kb. minél rövidebb a titok, annál kevésbé biztonságos. Tudósok százai foglalkoznak ilyenekkel, és biztos sírnak, ha olyat látnak, hogy te egy hash értékének csak a negyedét veszed figyelembe. Ha engem kérdezel, _talán_ lehet ilyet, csak akkor minimum építs a rendszerbe védelmet brute force ellen, és sűrűn cserélgesd a titkos kulcsot.
Én nem vagyok szakértő, de a következő a megérzésem. A normális jelszavak általában azért lehetnek biztonságosan rövidek, mert teljesen véletlenszerűek. Ha te algoritmussal generálsz valamit, akkor valaki más tud írni egy algoritmust, ami kitalálja a titkos kulcsot 1-2 elkapott jelszóból. Ezért kell sok száz bites titkokban utazni. Ha te kevés bitet használsz, és az is generált, akkor bajban vagy.
Mondok egy példát, enyhén kapcsolódik. Egyszer egyedi, de nem sorban egymást követő azonosító számokat kellett generálnom. Gondoltam, hogy hash-elem az adott időt, és veszek belőle x db bitet. Bőven a teljes értékkészlet elérése előtt duplikálódni kezdtek a generált értékek. Lásd születésnap paradoxon.