Una pregunta de seguridad es una pregunta que se utiliza para verificar la identidad de una persona en una red o sitio web protegido por contraseña. Los usuarios suelen elegir una de varias preguntas biográficas para responder cuando crean cuentas en línea. Luego, si un usuario olvida la contraseña, se le pedirá que responda esta pregunta de seguridad. Si la pregunta se responde correctamente, el sistema enviará información sobre cómo restablecer la contraseña. Las preguntas de seguridad también se pueden usar como una forma secundaria de verificación de identidad después de ingresar la contraseña, por ejemplo, si el usuario está ingresando desde una ubicación desconocida.
Las cuestiones de seguridad han ganado popularidad desde principios de la década de 2000 como resultado de lo que a veces se denomina «caos de contraseñas». Alguien que usa Internet para el trabajo, la escuela, la banca, las comunicaciones personales, etc., puede tener docenas de nombres de usuario y contraseñas diferentes que puede confundir fácilmente. Antes de la llegada de las preguntas de seguridad, es posible que el usuario deba llamar al servicio de atención al cliente para restablecer la contraseña manualmente. Los sitios que permiten a los usuarios restablecer sus contraseñas mediante una pregunta de seguridad ahorran dinero a las empresas y tiempo a los usuarios.
Aunque las preguntas de seguridad son una forma conveniente de restablecer una contraseña, generalmente se las considera mucho menos seguras que la propia contraseña. Una pregunta de seguridad común, por ejemplo, es «¿Cuál es el apellido de soltera de su madre?» Esta información, aunque puede que no sea ampliamente conocida, a menudo se puede encontrar mediante un poco de investigación en Internet, comprometiendo así la cuenta del usuario. Otra información que a veces se usa en preguntas de seguridad puede incluir los nombres de mascotas, lugares de vacaciones favoritos o información escolar, gran parte de la cual se publica de manera rutinaria en sitios de redes sociales.
Debido a estos riesgos de seguridad, tanto los usuarios como los desarrolladores de redes deben tener cuidado con las preguntas de seguridad que eligen y con la forma en que las responden. Una buena pregunta de seguridad debe tener muchas respuestas posibles que un hacker probablemente no pueda adivinar. Los usuarios deben tener cuidado de no publicar información relacionada con la pregunta de seguridad en ningún lugar de Internet.
Los desarrolladores también deben formular las preguntas de tal manera que solo haya una forma posible de escribir la respuesta. Por ejemplo, la respuesta a la pregunta “¿Cuál es la fecha de nacimiento de su madre?” Podría escribirse “1 de julio de 1948”, “1 de julio de 1948”, “7 de julio de 1” o de cualquier otra forma. Un usuario que olvidó su contraseña probablemente no recordará de qué manera escribió la respuesta, por lo que esta es una pregunta de seguridad mal escrita. Una mejor pregunta sería: «¿Cuál es el mes y el año del nacimiento de su madre (por ejemplo, julio de 1948)?»