Можно использовать следующую схему:
1) хранить в открытом виде до подтверждения через SMS.
2) После подтверждения задача борьбы с фейковыми аккаунтами выполнена и открытый номер телефона уже не нужен. Теперь вычисляете хэш стойкой на текущий момент функцией и храните только её.
3) А если нужно будет восстановить пароль от аккаунта, прислав его на SMS, то для это предлагаете ввести номер телефона, вычисляете его хэш, сравниваете с хранимым и, если совпадает — отсылаете информацию для восстановления пароля в SMS на введённый номер.
4) По завершении восстановления пароля — введённый открытый номер уже не нужен и его можно удалить (хэш продолжаем хранить).
