È vero che su alcuni siti web (ad es. webmail gratuito) ci sono "domande di sicurezza" - se l'utente dimentica la sua password, potrebbe rispondere alla domanda di sicurezza, che ha fornito prima, e quindi potrebbe cambiare la sua password. MA: non è questo un problema di sicurezza? Cosa succede quando la domanda di sicurezza è debole e indovinabile?
Normalmente le domande di sicurezza non vengono utilizzate da sole e vengono utilizzate per accompagnare la verifica tramite email. Alcuni servizi li utilizzano anche quando si accede da una posizione diversa alla normale per aggiungerli alla procedura di accesso. Usarli da soli, a meno che tu non chieda come 50 domande, può essere un problema di sicurezza.
Qualunque cosa tu faccia, possono comunque essere deboli e indovinabili, quindi devono essere utilizzate le domande giuste. Esiste un elenco di buone domande di sicurezza qui che dovrebbero essere più difficili da indovinare.
Leggi altre domande sui tag authentication web-application appsec secret-questions