Die Art und Weise, in der Sicherheitsfragen von einer Site verwendet werden, bestimmt, ob sie den vermeintlich stärkeren Authentifizierungsmechanismus (der Verwendung guter Kennwörter) untergraben.
In der Regel Systeme, die den Zugriff auf Benutzer nach deren Verwendung ermöglichen beantwortete eine Sicherheitsfrage, sind schwächer als Systeme, die dem Benutzer ein (temporäres) Passwort über einen (anderen und sicheren) Kanal übermitteln würden. Die vorherige Aussage vermittelt eine bewährte Methode, und bestimmte Systeme müssen nicht alle implementieren. Einige Systeme stellen ein neues Kennwort bereit (das von einem Benutzer nicht geändert werden muss), und es gibt andere Systeme, die das Kennwort über einen unsicheren Kanal kommunizieren.
Das Ausfüllen einer Sicherheitsfrage mit zufälligen Zeichen ist nicht unbedingt erforderlich Ein guter Ansatz (obwohl er besser ist als eine kleinere Antwort mit geringer Entropie), da er es schwierig macht, sich zu erinnern, was zu einem möglichen Aussperrungsszenario führt (von dem aus dies oft kein Punkt der Wiederherstellung ist). Es ist zu beachten, dass Sicherheitsfragen im Gegensatz zu Kennwörtern häufig nicht regelmäßig geändert werden. Die Antwort hängt daher davon ab, wie gut die Antwort geschützt ist (sowohl vom Benutzer als auch vom System), wie öffentlich die Antwort tatsächlich ist und wie häufig die Frage (und Antwort) geändert werden kann.
Lesen Sie diese bezogene StackOverflow-Frage wird empfohlen, um in den Antworten die Out-of-Band-Kommunikation zu erörtern, unter anderem das potenzielle Sperrszenario.