Güvenlik sorusu, bir kişinin parola korumalı bir ağda veya Web sitesinde kimliğini doğrulamak için kullanılan bir sorudur. Kullanıcılar genellikle çevrimiçi hesaplar oluştururken yanıtlayacakları biyografik sorulardan birini seçer. Daha sonra bir kullanıcı şifreyi unutursa, kendisinden bu güvenlik sorusunu cevaplaması istenir. Soru doğru cevaplanırsa, sistem şifrenin nasıl sıfırlanacağına dair bilgi gönderir. Güvenlik soruları, örneğin kullanıcı bilinmeyen bir yerden giriş yapıyorsa, şifre girildikten sonra ikincil bir kimlik doğrulama biçimi olarak da kullanılabilir.
Güvenlik soruları, 2000'li yılların başından bu yana bazen "şifre kaosu" olarak adlandırılan şeyin bir sonucu olarak iyilik kazanmıştır. İnterneti iş, okul, bankacılık, kişisel iletişim vb. İçin kullanan biri, kolayca karıştırabileceği düzinelerce farklı kullanıcı adı ve şifreye sahip olabilir. Güvenlik soruları gelmeden önce, kullanıcının parolanın manuel olarak sıfırlanması için müşteri servisini araması gerekebilir. Kullanıcıların bir güvenlik sorusu ile şifrelerini sıfırlamalarına izin veren siteler, şirketler için para tasarrufu sağlar ve kullanıcılar için zaman tasarrufu sağlar.
Her ne kadar güvenlik soruları bir parolayı sıfırlamanın uygun bir yolu olsa da, genellikle parolanın kendisinden çok daha az güvenli kabul edilir. Ortak bir güvenlik sorusu, örneğin, "Annenizin kızlık soyadı nedir?" Bu bilgi, geniş çapta bilinmese de, biraz İnternet gizliliği aracılığıyla bulunabilir, böylece kullanıcının hesabını tehlikeye atar. Bazen güvenlik sorularında kullanılan diğer bilgiler, çoğu sosyal ağ sitelerinde düzenli olarak yayınlanan evcil hayvanların adlarını, en sevdiğiniz tatil yerlerini veya okul bilgilerini içerebilir.
Bu güvenlik riskleri nedeniyle, hem kullanıcıların hem de ağ geliştiricilerin, seçtikleri güvenlik soruları ve nasıl yanıtladıkları konusunda dikkatli olmalıdırlar. İyi bir güvenlik sorusu, bir bilgisayar korsanının tahmin edemeyeceği birçok olası cevaba sahip olmalıdır. Kullanıcılar, güvenlik sorusu ile ilgili bilgileri İnternet’in hiçbir yerinde yayınlamamaya özen göstermelidir.
Geliştiriciler ayrıca, soruları cevap yazmanın tek bir yolu olacak şekilde ifade etmelidir. Örneğin, "Annenizin doğum tarihi nedir?" Sorusunun cevabı "1 Temmuz 1948," "1 Temmuz 1948," "7/1/1948" veya herhangi bir sayıda başka yolla yazılabilir. Şifresini unutan bir kullanıcının cevabı hangi şekilde yazdığını hatırlama olasılığı yoktur, bu da kötü yazılmış bir güvenlik sorusudur. Daha iyi bir soru olabilir, "Annenizin doğumunun ayı ve yılı nedir (örneğin, Temmuz 1948)?"
