In generale, il mio voto sarebbe quello di eliminare soft; ma elimina tutti i dati sensibili (come gli hash delle password). Come in linea con il commento di Matthew;
-
Responsabilità : se scopri in X il tempo in cui sei stato violato da un utente i cui dettagli di contatto non hai, renderà molto difficile scoprire cosa è successo esattamente . E persino fornire prove potenziali, ecc.
-
Scrubbing dei dati : gli utenti riutilizzano le password, indipendentemente da ciò che diciamo loro. Se il tuo servizio viene compromesso, non vorresti che l'hash della password dei tuoi clienti fosse esposto.
Probabilmente c'è molto più lavoro di ingegneria, ma potenzialmente vale la pena guardare. Disattiva gli account ma mantieni un riferimento ad essi da qualche parte, quindi assicurati di non riutilizzare l'ID utente.
Bottomline, c'è molto poco guadagno con l'eliminazione degli account utente. Lo spazio di archiviazione è praticamente gratuito e, a meno che non si tratti di una decisione aziendale / normativa, è meglio conservare l'account (ripulito).