网站使用安全问题的方式决定了它们是否破坏了所谓的更强的身份验证机制（使用良好的密码）。

通常，在用户回答安全问题后允许访问的系统比通过（不同且安全的）通道向用户传达（临时）密码的系统弱。前面的陈述传达了一种最佳实践，某些系统不需要全部实现；一些系统会提供一个新密码（用户不需要更改），还有其他系统会通过不安全的通道传递密码。

用随机字符填充安全问题不一定是一种好方法（尽管它比具有低熵的较小答案要好），因为它会让人难以记住，从而导致潜在的锁定场景（从这里是通常没有恢复点）。应该记住，安全问题通常不会像密码那样定期更改。因此，答案取决于答案的保护程度（用户和系统）、答案的实际公开程度以及问题（和答案）的更改频率。

建议阅读这个相关的 StackOverflow 问题，因为答案讨论了带外通信，以及其他问题，例如潜在的锁定场景。

是的。

这些“安全”问题的更好名称是“方便问题”。它们是绕过密码访问同一帐户的另一种方式。由于此类问题的答案通常由现有单词组成，因此它们是字典攻击的完美目标，甚至只是简单的猜测。当攻击者已经掌握了一些个人信息时，情况会变得更糟。

如果您必须订阅提供“安全问题”（并使其成为强制性）的内容，您可以做的最好的事情就是输入一个非常长的垃圾字符序列。

2015 年一项基于 Google 部署个人知识问题的研究包含大量证据证明其中存在许多问题：秘密、谎言和帐户恢复：Google 使用个人知识问题的教训

一些发现：

• 秘密问题通常提供的安全级别远低于用户选择的密码
• 承认提供虚假答案的用户中有很大一部分 (37%) 这样做是为了让他们“更难猜”，尽管总体而言，这种行为产生了相反的效果，因为人们以可预测的方式“强化”他们的答案
• 秘密答案的记忆力出奇的差，成功率为 60%，而短信重置代码的成功率为 80%
• 可能最安全的问题（例如，您的第一个电话号码是什么）也是记忆最差的问题

他们得出的结论是

似乎几乎不可能找到既安全又令人难忘的秘密问题。当与其他信号结合使用时，秘密问题仍然有一些用处，但它们不应该单独使用，最佳实践应该有利于更可靠的替代方案。

如果你想让它不被回答？大多数此类网站无论如何都会要求您通过邮件重置密码，因此他们需要您的电子邮件信息才能到达任何地方，答案主要是通过不断重置密码来防止人们打扰您。

如果您只能通过“秘密”问题重置密码，那么安全性很差。