Si estoy implementando un sistema de tokenización para PII dentro de una base de datos, ¿se considera una práctica incorrecta o es más arriesgado reutilizar tokens?
Por ejemplo, si estoy almacenando el nombre "Richard" varias veces, y todos ellos se reemplazan con el token "Fxyw3Qq5yzXqDoiKqx", introduce ese riesgo adicional, que si utilizara un identificador único para cada Richard "?
Sí, introduce riesgos, pero puede ser necesario, dependiendo de lo que esté haciendo con los datos.
Imagina una base de datos de mucha gente. Tal vez incluya nombres, direcciones y fechas de nacimiento, pero las fechas de nacimiento no están cifradas o con token, para permitir el envío fácil de recordatorios de cumpleaños.
Si un atacante que roba la base de datos puede identificar el nombre asociado con una fecha de nacimiento determinada (tal vez estén en el sistema, así que saber su propio nombre y DoB), ahora también pueden identificar a cualquier otra persona con el mismo nombre. . Aún no pueden identificar la dirección asociada, pero pueden comenzar a correlacionar los datos, buscando personas cuyas fechas de nacimiento se conocen con el mismo nombre, por ejemplo, con el objetivo de descubrir el token que corresponde a los apellidos comunes. Al repetir este proceso (que es laborioso, dependiendo de los datos, y si los detalles pueden ser confiables en las referencias cruzadas), pueden acumular más y más información sobre el contenido de la base de datos.
Si los tokens son realmente cifrados, también podrían encontrar patrones que ayuden a revelar la clave de cifrado, si los diseñadores no han implementado el cifrado con cuidado, en algunos casos, esto significa que al identificar un valor más largo. un atacante puede descifrar cualquier otro valor más corto en el sistema.
Si, por otro lado, usa un token único para cada instancia del mismo nombre, un atacante no puede realizar ese proceso de referencia cruzada. Sin embargo, usted tampoco puede: si quisiera extraer todos los registros de personas llamadas "Richard", tendría que poder recrear cada token para comparar con su término de búsqueda, lo que podría ser un proceso difícil, o incluso imposible si el El proceso de generación de tokens implicó un paso de hashing de una sola vía.
Básicamente, si desea poder buscar los datos posteriormente y obtener la correlación de los datos, es probable que necesite un token del mismo valor de forma consistente. Si desea anonimizar completamente los datos, tal vez para proporcionarlos a un tercero para la prueba o donde se realicen análisis en elementos que no son PII, es más seguro asegurarse de que cada instancia del mismo valor en los datos originales sea distinta una vez procesada.