Processo usuale
Ci sono due modi comuni per implementare la cosiddetta "domanda di sicurezza" (che non penso sia comunque molto sicura, ma questo è un altro argomento):
- Proponi all'utente di scegliere una domanda da una serie di domande già definite,
- Proponi all'utente di digitare la sua domanda.
Il problema con la prima possibilità è che avrai un rapporto molto ampio tra i tuoi utenti che riutilizzeranno la stessa domanda come il nome del loro primo animale domestico, per esempio. Questo può essere un punto debole dal momento che un utente malintenzionato può, con questo esempio, utilizzare un dizionario di nomi di animali comuni contro tutti gli utenti che hanno scelto questa domanda.
Con la seconda possibilità, incoraggi i tuoi utenti a utilizzare domande diverse. Anche se qui il rischio è che possano utilizzare una domanda ancora più debole, almeno ci sarà una gamma più ampia di domande diverse che renderà i tentativi di automazione un po 'più difficili per l'aggressore.
Tuttavia, in entrambi i casi la domanda rimane pubblica, solo la risposta è segreta. Quando fai clic sul link " Ho dimenticato la password ", in ognuna di queste situazioni ti verrà richiesta la tua domanda (o quella che hai scelto o quella che hai digitato) e dovrai fornire la risposta corretta per ottenere il tuo accesso.
Se si incontra un sito Web che richiede di digitare sia la domanda che la risposta durante la procedura di reimpostazione della password, allora si può scommettere che questo processo è stato progettato da qualcuno un po 'avvitato (e che questo processo verrà probabilmente cambiato rapidamente quando il reparto assistenza è stufo dei reclami degli utenti).
Caso specifico della schermata
L'obiettivo di qualsiasi sistema di autenticazione è quello di farti provare la tua identità in qualche modo. Il più veloce è usando una password segreta, o in altre parole un segreto condiviso tra te e il servizio a cui vorresti dimostrare la tua identità.
Se dimentichi questo segreto condiviso, viene la domanda / le domande sulla sicurezza: ti offriranno un modo alternativo per dimostrare la tua identità fornendo alcuni dettagli sulla tua vita personale che (si spera) solo tu puoi ora.
Avere una domanda che richiede di nuovo un segreto condiviso sembra semplicemente inutile, in quanto non fornisce alcun modo alternativo per dimostrare la tua identità: se hai perso il tuo principale segreto condiviso, molto probabilmente hai perso anche quest'altro .
Quindi classificherei definitivamente questo nella categoria "screwy".