Das Problem von Random hat BUG ja nochmal erklärt...
Übrigens bringt da ein 1 MB großes Passwort herzlich wenig
Der masterkey ist nicht direkt der key für AES256. Das ist die Basis (Passwort/Salt) um eine KEY/IV Kombination zu bilden, die dann natürlich die passende Länge haben muss. Aber grundsätzlich richtig, das nicht mehr als 32 Zeichen gebraucht werden, mein Problem war nur, die Zahl der BruteForce-Tests zu erhöhen.
Der Hinweis von BUG auf CryptGenRandom war schon passend.