Si fa un commento sul fatto che le domande di sicurezza predeterminate hanno più probabilità di essere indovinate dagli aggressori rispetto alle domande definite dall'utente. Ciò presuppone che l'utente medio progetterà una domanda migliore (ad esempio più segreta, meno probabile) rispetto alle persone che implementano il sistema. Questo non sembra essere vero per la maggior parte degli utenti.
In uno studio di laboratorio i soggetti hanno speso solo una media di 15 secondi per presentare la propria domanda di sicurezza. È pochissimo tempo per pensare alle caratteristiche di una cosa che fa una buona domanda di sicurezza. In un studio diverso i ricercatori hanno chiesto alle persone di creare domande sulla sicurezza che considerano fattori importanti durante la progettazione delle loro domande. Il 70% ha identificato la "memorabilità" come un fattore molto importante, mentre solo il 44% ha affermato che la "sicurezza" era molto importante. Quindi lasciare che gli utenti scrivano le proprie domande spesso si traducono in una sicurezza peggiore perché si concentrano su come renderle facili da rispondere, non resistenti alle supposizioni.
Sono stato in grado di osservare questo comportamento un po 'in uno studio che ho condotto alcuni anni fa su definito dall'utente coppie di domande / risposte di sicurezza trapelate durante diverse violazioni del database del sito Web. Ho scoperto che molte delle domande erano lo stesso tipo di cosa che ci si aspetterebbe di vedere nelle liste di domande di sicurezza predefinite: nome da nubile della madre, nome dell'animale domestico, luogo di nascita. Ma questo includeva domande sbagliate come "qual è il tuo colore preferito" in cui alcune risposte sono molto più probabili di altre e fare cinque ipotesi (blu, viola, verde, rosso, nero) corrisponderebbe correttamente al 75% delle risposte degli utenti.
Peggio ancora, alcuni utenti sceglierebbero di compromettere completamente la sicurezza della domanda attraverso la loro scelta. Alcuni utenti (il 15% su un sito, il 2% su un altro) farebbero corrispondere la risposta alla loro domanda. Un numero ridotto (0,2% e 1,8%) potrebbe persino elencare la password come domanda. In questi casi, chiunque sia in grado di visualizzare la domanda può quindi utilizzare tali informazioni per accedere come utente. Puoi implementare i controlli per controllare le domande mentre gli utenti li inviano e cercare di prevenire questo comportamento, ma è piuttosto difficile far rispettare un utente determinato a eluderlo.
Le domande di sicurezza non sono un ottimo metodo per autenticare gli utenti, ma consentire alle domande definite dall'utente tende ad essere una soluzione ancora peggiore. Se sei determinato a utilizzare domande di sicurezza, devono essere valutate e scelte dalle persone più qualificate per valutare i loro pro e contro.