Il modo in cui le domande di sicurezza sono utilizzate da un sito, determina se indeboliscono il meccanismo di autenticazione apparentemente più strong (dell'uso di buone password).
In genere, i sistemi che consentono l'accesso agli utenti dopo aver risposto a una domanda di sicurezza, sono più deboli dei sistemi che comunicano una password (temporanea) all'utente tramite un canale (diverso e sicuro). La precedente dichiarazione trasmette una best practice, e alcuni sistemi non hanno bisogno di implementarlo interamente; alcuni sistemi forniscono una nuova password (che non deve essere modificata da un utente), e ci sono altri sistemi che comunicano la password tramite un canale non sicuro.
Il riempimento di una domanda di sicurezza con caratteri casuali non è necessariamente un buon approccio (anche se è meglio che avere una risposta più piccola con bassa entropia), poiché renderebbe difficile la memorizzazione, determinando un potenziale scenario di lock-out (da dove questo spesso non ha senso di recupero). Va ricordato che le domande di sicurezza spesso non vengono cambiate periodicamente a differenza delle password. La risposta dipende quindi da quanto è protetta la risposta (sia dall'utente che dal sistema), da quanto è pubblica la risposta e da quanto frequentemente può essere cambiata la domanda (e la risposta).
La lettura di questa domanda relativa a StackOverflow è raccomandata, per le risposte discuti la comunicazione fuori banda, tra le altre questioni come il potenziale scenario di blocco.