Stai confondendo la crittografia AES con la derivazione della chiave.
Se si utilizza il meccanismo di derivazione della chiave che deriva la chiave da una password, la forza effettiva della crittografia risultante è la più debole sia della crittografia sia della fase di derivazione della chiave.
Se la tua password contiene meno di 128 bit di forza (ciò equivale a circa 21 caratteri di password scelte casualmente da un set di 64 caratteri, o passphrase diceware di 9 parole), allora sì la tua chiave derivata avrà al massimo solo molti bit di forza, quindi AES-256 non migliorerà su AES-128. Ma se hai una password più strong, allora AES a 256 bit può preservare più forza dalla password originale.
Matematicamente, AES-256 è più difficile da decifrare rispetto a AES-128 se utilizzato con derivazione di chiavi e generazione di password appropriate. Anche se, in pratica, 128-bit è già praticamente non forzato bruto, quindi in pratica l'utilizzo di più di 128 bit di password è eccessivo per la maggior parte delle situazioni. Lo scopo principale delle password a 256-bit e AES-256 è proprio quello di aumentare il margine di sicurezza dello schema se si scopre che esiste un difetto di crittografia che riduce la forza del sistema.
Inoltre, ci sono molte applicazioni di AES in cui la chiave non è solo derivata da una password. Ad esempio, se la chiave è memorizzata in un criptoprocessore sicuro / smartcard, che può imporre la politica di blocco forzando ritardi tra i tentativi. Esistono anche schemi ibridi in cui il sistema genera una chiave 256 che viene quindi crittografata con una password e la chiave crittografata non viene archiviata insieme ai dati, in modo che l'apertura della crittografia richieda un'intestazione fuori banda.