Это будет работать. Более того, примерно так и работают и VeraCrypt, и KeePass, и даже Rar. Чтобы из пароля получить ключ, которым уже зашифрованы данные, используют какую-либо KDF (key derivation function). Эта функция односторонняя, ресурсоёмкая и медленная. Она состоит из множества раундов хеширования или блочного шифрования (где результат одной итерации служит ключом для следующей, отсюда необратимость). А между итерациями туда ещё подмешивается уникальная соль, чтобы предвычисления никак не помогали ускорить процесс.
Нагугленные вами PBKDF2, Scrypt и Argon2 как раз являются такими KDF, и служат ровно для той цели, что вы озвучили: превращать относительно простой пароль в криптостойкий ключ, с защитой от брутфорса.
Да, если задрать сложность, можно получить в целом приемлемую стойкость даже с коротким паролем. Только он должен быть истинно случайным, иначе число вариантов с 72^7 сократится до гораздо более скромных величин.
