Обрезаные хеши

Лучше второе.

Лучше потому что Security through minority или они дейтсвительно устойчивее к коллизиям при таком использовании?

Если мы отказываемся от MD5/SHA1 по соображениям потенциальных криптоаналитических атак (ввиду показанных уязвимостей), выводя чистые брутфорс-атаки за скобки, то применение урезанного вывода от SHA2 (или любого другого считающегося надёжным алгоритма) имеет смысл.

SHA-2 считается надежным в полном размере, не в последнюю очередь из-за размера хэшей. А как обстоит дело с урезаными хешами?

Только в конкурсе SHA-3 было заявлено требование: стойкость ограниченного подмножества должна быть такой же как и исходного, но с пересчётом на его размер (мощность). Поиск более слабых подмножеств должен быть невозможен.

Иными словами, атаки на сокращённый выход должны быть невозможны (в сравнении с грубой силой и тривиальными различителями).

Для SHA-2 показана существенная неидеальность теоретической модели, включая саму конструкцию Дамгарда-Меркла. Несмотря на это, специальных атак на урезанные версии SHA-2 хэшей пока не опубликовано.

Можно лишь предполагать, что пока не открыты новые методы криптоанализа SHA-2, урезанные версии SHA-2 будут более стойкими, чем SHA-1 из-за большего количества раундов и размера внутреннего состояния.

Кроме того, некоторые финалисты конкурса SHA-3 используют в качестве основы своей стойкости именно "срезание" части своего внутреннего состояния, что затрудняет атаки (т.н. Wide Pipe Design).