En un sistema donde la información personal almacenada en una base de datos está encriptada, pero uno de los campos solo contiene datos en una minoría de casos, tendría más sentido dejar el campo vacío, en lugar de ¿cifrando una cadena vacía?
Por un lado, si elijo dejar el campo vacío, estaría filtrando información sobre el contenido del registro (completado o no)
Por otra parte, si cifro el campo vacío, la mayoría del tiempo le estoy dando a un atacante potencial un texto sin formato conocido.
El algoritmo que se está utilizando es AES-256.
Soy consciente de que un atacante aún tendría que utilizar la fuerza bruta de la clave, incluso si obtuvieran un par de texto cifrado / texto sin formato, sin embargo, tengo curiosidad por la opinión de la comunidad de que el enfoque de la mejor práctica sería aquí.