Se sto implementando un sistema di tokenizzazione per le PII in un database, è considerato una cattiva pratica, o più rischioso, riutilizzare i token?
Ad esempio, se sto memorizzando il nome "Richard" più volte, e sono tutti sostituiti con il token "Fxyw3Qq5yzXqDoiKqx", ciò comporta quindi ulteriori rischi, rispetto al caso in cui dovessi utilizzare un identificatore univoco per ciascun " Richard "?
Sì, introduce dei rischi, ma potrebbe essere necessario, a seconda di cosa stai facendo con i dati.
Immagina un database di molte persone. Forse include nomi, indirizzi e date di nascita, ma le date di nascita non sono crittografate o tokenizzate, per consentire di inviare facilmente promemoria di compleanno.
Se un utente malintenzionato che ruba il database può identificare il nome associato a una determinata data di nascita (forse sono sul sistema, quindi conoscono il proprio nome e DoB), quindi possono ora identificare anche altri con lo stesso nome . Non riescono ancora a identificare l'indirizzo associato, ma potrebbero essere in grado di iniziare a correlare i dati, cercando persone con date di nascita conosciute con lo stesso nome, ad esempio, con l'obiettivo di scoprire il token che corrisponde ai cognomi comuni. Ripetendo questo processo (che è laborioso, a seconda dei dati, e se i dettagli possono essere incrociati in modo affidabile), possono creare sempre più informazioni sui contenuti del database.
Se i token sono realmente crittografati, potrebbero anche essere in grado di trovare pattern che aiutano a rivelare la chiave di crittografia, se i progettisti non hanno implementato la crittografia con attenzione - in alcuni casi, ciò significa che identificando un singolo valore più lungo, un utente malintenzionato può decrittografare qualsiasi altro valore più breve nel sistema.
Se, d'altra parte, si utilizza un token univoco per ogni istanza con lo stesso nome, un utente malintenzionato non può eseguire tale processo di riferimento incrociato. Tuttavia, non puoi neanche - se volessi estrarre tutti i record per le persone chiamate "Richard", avresti bisogno di essere in grado di ricreare ogni token da confrontare con il tuo termine di ricerca, che potrebbe essere un processo difficile, o addirittura impossibile se il il processo di generazione di token comportava un passaggio di hashing unidirezionale.
Fondamentalmente, se vuoi essere in grado di cercare i dati in seguito e ottenere la correlazione dei dati, probabilmente devi uniformare coerentemente lo stesso valore allo stesso token. Se si desidera anonimizzare completamente i dati, magari fornirli a terzi per il test o dove viene eseguita l'analisi su elementi non PII, è più sicuro garantire che ogni istanza dello stesso valore nei dati originali sia distinta una volta elaborata.