A 2020 MacBook Air can hash every North American phone number in four hours
7 months ago
- #PII
- #hashing
- #privacy
- 对PII(个人身份信息)进行哈希处理并不能有效保护隐私,因为PII既不够长也不具备不可预测性。
- 营销SaaS和广告技术常使用加密哈希作为隐私保护的幌子,但这种方法对于电子邮件地址、电话号码和社会安全号码等PII存在根本缺陷。
- BambooHR和UnsubCentral等工具使用MD5或SHA哈希进行客户名单比对,但这些哈希在现代硬件上很容易被逆向破解。
- 概念验证显示,使用DuckDB为北美电话号码生成彩虹表,揭示了哈希处理的PII能被多快破解。
- 即便没有专业软件,使用消费级硬件也能逆向破解哈希处理的PII,这使得传递哈希作为隐私保护方案完全失效。
- 2021年研究人员曾演示哈希处理1180亿个电话号码,但如今即便一台笔记本电脑也能高效完成此类任务。