De Franse privacytoezichthouder CNIL heeft een boete van 3,5 miljoen euro opgelegd aan een bedrijf dat SHA-256 gebruikte voor het hashen van wachtwoorden, wat werd beoordeeld als inadequate beveiliging. Dit gebeurde in het kader van een datalek waarbij persoonsgegevens zonder geldige toestemming werden gedeeld met een sociaal netwerk voor gerichte reclame.

De CNIL baseerde haar oordeel mede op adviezen van het Franse Nationaal Agentschap voor Informatiesysteembeveiliging (ANSSI), dat stelt dat snelle hashfuncties zoals SHA-256 kwetsbaar zijn voor brute force-aanvallen. Alternatieven zoals Argon2 worden aanbevolen vanwege hun weerstand tegen dergelijke aanvallen. Het betrokken bedrijf was inmiddels al overgestapt op Argon2. De CNIL benadrukte dat zij al sinds 2020 waarschuwt voor het gebruik van snelle hashfuncties bij wachtwoordopslag en dat er diverse eerdere sancties zijn opgelegd voor onvoldoende beveiligingsmaatregelen volgens artikel 32 van de AVG.

Hoewel de uitspraak bindend is in Frankrijk, geldt dit niet automatisch voor andere Europese toezichthouders. Wel moeten toezichthouders onder het AVG-coherentiemechanisme samenwerken en hun standpunten op elkaar afstemmen. Dit kan betekenen dat ook in Nederland het gebruik van SHA-256 voor wachtwoordbeveiliging onder druk komt te staan. Organisaties wordt geadviseerd om te overwegen over te stappen op veiligere hashingalgoritmen zoals Argon2.