从简单的开始：您不必将真实信息作为问题的答案。如果您真的很偏执并将它们存储在密码管理器中，就像密码一样，随机字符串效果最好。

其余的（没有蛮力保护，可能是过时的软件）是一种耻辱，但从安全角度来看，您无能为力。我会向 HR/Payroll 提出这个问题，并要求他们进行调查。如果您在欧洲，那么您也可以与您的 DPO 交谈，建议他们的“数据处理器”存在需要调查的令人不安的帐户安全做法。

否则，这更像是一个内部办公室政治问题。

对我来说，这说明您没有进行足够的调查，无法自信地说它不安全。您没有展示任何特定的直接漏洞利用，也没有真正深入研究他们的系统（以一种非黑客攻击的方式，四处寻找）。由于缺乏直接证据，您的上级可能不感兴趣。

例如，我的工作使用第 3 方网站来安排假期，我发现它允许我通过电子邮件以纯文本形式发回我的确切密码来“恢复”我的密码，这是我可以解决的问题的直接证据报告。同样，用于某些 IT 服务（SIP 中继）的站点存在一个问题，即我可以更改 URL 中的 ID 并（令我惊讶的是）再次查看其他人的帐户信息，这是另一个直接证据。现在，你只是有怀疑，而不是明显的怀疑。

顺便说一句，所有重置密码的安全问题都是不安全的，因为它们依赖于公共信息。正如其他人所建议的那样，您可以在此处输入虚假答案（您仍然可以记住）或完全随机生成的字符串。您可以将安全问题视为最一般意义上的“字符串”到“字符串”安全挑战。

我该怎么做：

A. 找出这个网站是否真的像我想象的那样不安全？

你真的不能，除非你看到一个具体的、可利用的问题。这就是信息安全公司所做的，他们试图主动破坏系统（在所有者同意的情况下）。他们知道许多程序和技术来系统地采用这样的应用程序，从简单的事情，比如使用 HTTP 而不是 HTTPS，cookie 的不安全使用，XSS，SQL 注入，还有其他的东西，比如显然只是简单地计算了 ID（这意味着你可以只需按顺序尝试它们），仅在浏览器上检查的内容（很容易伪造），依此类推。

他们还可以将黑盒方法与白盒方法结合起来（即，像任何黑客/破解者一样，只从外部查看，或者实际研究源代码，使用提供的帐户进入服务器等）。

你可以自己做所有这些，但正如你所问的，你显然不知道如何做。但主要问题是，如果你这样做了，如果没有事先征得同意，你至少会处于灰色地带，如果不是彻底违法的话。

B. 如果属实：以适当的方式与公司本身沟通（最好以匿名方式）

你不能（至少匿名）。如果有专门的 CISO，他会是你的第一道防线；但除此之外，尤其是在较小的公司中，如果您的管理层对此置之不理，您将无能为力。

我想某些政府机构可能会对某些特定情况感兴趣-例如，如果您的公司在具有严格安全要求的地区为政府工作；那么显然你可能会尝试向某个地方发送匿名消息，但他们为什么会关心你的人力资源信息......

但总的来说，对于任意公司来说，“没有命运，只有我们自己创造”这句话适用。

如果我不得不猜测，我敢打赌，该服务也能够抵御暴力攻击，这仅仅是因为配置不足以处理所涉及的负载。猜测的速度太快，服务器就会崩溃，提醒管理员注意正在发生的事情。走得太慢，你猜测的速度不够快，无法在合理的时间内获得成功。

将此添加到其他人的使用虚假信息的建议中，如果您小心的话，该服务根本不会受到攻击……至少，目前没有报道的方式。注意我说的是“如果”。正如您所提到的，这似乎是一个不幸的设计，它并没有建立对幕后可能存在的其他东西的信心。

我不会尝试自己进一步实际测试任何东西，但如果这是许多其他公司使用的产品，您可能会尝试将错误放在实际的安全研究人员耳中，他们会知道如何测试它一种合乎道德的方式，并为处理任何法律后果做好更好的准备。如果您是您所在地区唯一一个在工作中具有技术头脑的人，您可能还想提醒同事如何“安全”地使用该服务。