Una domanda di sicurezza è una domanda utilizzata per verificare l’identità di una persona su una rete o un sito Web protetto da password. Gli utenti in genere scelgono una delle numerose domande biografiche a cui rispondere quando creano account online. Quindi, se un utente dimentica la password, gli verrà chiesto di rispondere a questa domanda di sicurezza. Se si risponde correttamente alla domanda, il sistema invierà informazioni su come reimpostare la password. Le domande di sicurezza possono essere utilizzate anche come forma secondaria di verifica dell’identità dopo l’immissione della password, ad esempio se l’utente accede da una posizione sconosciuta.
Le questioni di sicurezza hanno guadagnato il favore dai primi anni 2000 a causa di quello che a volte viene chiamato “caos delle password”. Qualcuno che usa Internet per lavoro, scuola, banca, comunicazioni personali, ecc., può avere dozzine di nomi utente e password diversi che può facilmente confondere. Prima dell’avvento delle domande di sicurezza, l’utente potrebbe dover chiamare il servizio clienti per reimpostare manualmente la password. I siti che consentono agli utenti di reimpostare le password tramite una domanda di sicurezza consentono di risparmiare denaro per le aziende e tempo per gli utenti.
Sebbene le domande di sicurezza siano un modo conveniente per reimpostare una password, sono generalmente considerate molto meno sicure della password stessa. Una domanda di sicurezza comune, ad esempio, è “Qual è il cognome da nubile di tua madre?” Queste informazioni, anche se potrebbero non essere ampiamente note, possono spesso essere trovate tramite un po’ di investigazione su Internet, compromettendo così l’account dell’utente. Altre informazioni che a volte vengono utilizzate nelle domande di sicurezza potrebbero includere i nomi di animali domestici, i luoghi di vacanza preferiti o le informazioni sulla scuola, molte delle quali vengono regolarmente pubblicate sui siti di social network.
A causa di questi rischi per la sicurezza, sia gli utenti che gli sviluppatori di rete devono prestare attenzione alle domande di sicurezza che scelgono e a come rispondono. Una buona domanda di sicurezza dovrebbe avere molte possibili risposte che un hacker probabilmente non sarebbe in grado di indovinare. Gli utenti devono fare attenzione a non pubblicare informazioni relative alla domanda di sicurezza da nessuna parte su Internet.
Gli sviluppatori dovrebbero anche formulare le domande in modo tale che ci sia un solo modo possibile per scrivere la risposta. Ad esempio, la risposta alla domanda “Qual è la data di nascita di tua madre?” potrebbe essere scritta “1 luglio 1948”, “1 luglio 1948”, “7/1/1948” o in qualsiasi altro modo. È probabile che un utente che ha dimenticato la propria password non ricordi in che modo ha scritto la risposta, rendendo questa domanda di sicurezza scritta male. Una domanda migliore sarebbe: “Qual è il mese e l’anno di nascita di tua madre (ad es. luglio 1948)?”