Hva er et sikkerhetsspørsmål?
Et sikkerhetsspørsmål er et spørsmål som brukes for å bekrefte en persons identitet på et passordbeskyttet nettverk eller nettsted. Brukere velger vanligvis ett av flere biografiske spørsmål å svare på når de oppretter nettkontoer. Hvis en bruker glemmer passordet, blir han eller hun bedt om å svare på dette sikkerhetsspørsmålet. Hvis spørsmålet blir svart på riktig måte, vil systemet sende informasjon om hvordan du tilbakestiller passordet. Sikkerhetsspørsmål kan også brukes som en sekundær form for identitetsbekreftelse etter at passordet er lagt inn, for eksempel hvis brukeren logger på fra et ukjent sted.
Sikkerhetsspørsmål har fått fordel siden begynnelsen av 2000-tallet som et resultat av det som noen ganger kalles "passordkaos." Noen som bruker Internett til arbeid, skole, bankvirksomhet, personlig kommunikasjon, etc., kan ha dusinvis av forskjellige brukernavn og passord som han eller hun lett kan forveksle. Før sikkerhetsspørsmål kommer, kan det hende at brukeren må ringe kundeservice for å tilbakestille passordet manuelt. Nettsteder som lar brukere tilbakestille passordene sine ved hjelp av et sikkerhetsspørsmål, sparer penger for selskaper og tid for brukerne.
Selv om sikkerhetsspørsmål er en praktisk måte å tilbakestille et passord på, anses de generelt som langt mindre sikre enn selve passordet. Et vanlig sikkerhetsspørsmål er for eksempel "Hva heter morens pikenavn?" Denne informasjonen, selv om den kanskje ikke er kjent, kan ofte bli funnet via en liten bit av Internett-sluting, og dermed kompromittere brukerens konto. Annen informasjon som noen ganger brukes i sikkerhetsspørsmål, kan omfatte navn på kjæledyr, favorittferieplasser eller skoleinformasjon, hvorav mye rutinemessig er lagt ut på sosiale nettverk.
På grunn av disse sikkerhetsrisikoer, må både brukere og nettverksutviklere være forsiktige med sikkerhetsspørsmålene de velger, samt hvordan de svarer på dem. Et godt sikkerhetsspørsmål bør ha mange mulige svar som en hacker sannsynligvis ikke vil kunne gjette. Brukere bør være forsiktige med å legge ut informasjon relatert til sikkerhetsspørsmålet hvor som helst på Internett.
Utviklere bør også sette ord på spørsmål på en slik måte at det bare er en mulig måte å skrive svaret på. For eksempel kan svaret på spørsmålet, "Hva er din mors fødselsdato?" Bli skrevet "1. juli 1948," "1. juli 1948," "7/1/1948," eller et hvilket som helst antall andre måter. En bruker som har glemt passordet sitt, vil sannsynligvis ikke huske på hvilken måte han eller hun skrev svaret, noe som gjør at dette er et dårlig skrevet sikkerhetsspørsmål. Et bedre spørsmål vil være: "Hva er måneden og året på din mors fødsel (f.eks. Juli 1948)?"