我一般不喜欢安全问题；他们通常要求提供或多或少公开的信息。母亲的娘家姓？Ancestry.com 会告诉你。你的高中？Facebook、LinkedIn 以及许多使用这些信息来推荐潜在朋友的社交媒体网站中的任何一个，不仅会拥有它，而且如果你对个人资料设置不小心，它们还会宣传它。

在这种情况下，您的消息来源同意，而不是提供实际答案，只是将此方案设置为备用密码。如果他使用的密码是随机的、强大的和唯一的，那应该就是所有必要的了。如果他使用的是通用密码，那么问题哈希是通过默默无闻的安全性；一旦攻击者知道了使用哈希的事实以及生成它的方法，它就会被破坏。

无论哪种方式，这都不是完全浪费时间，但是您做某事的方式是数字世界之外的秘密这一简单事实不能依赖于其中的安全性。在这家伙的情况下，他使用这种方法已经不是什么秘密了，所以他不能再指望它来保护他，在他自己的情况下是浪费时间。使用备用密码作为安全问题的答案（与问题的实际答案无关）的做法本身就相对安全，只要用户和网站都采取同样的措施来保护安全答案的机密性作为密码本身。

我同意其他答案，即“安全问题”确实没有多大用处。它们背后的理论是，只有您会知道这些问题的答案，并且如果您忘记了密码，它们将用于让您重新进入您的帐户。不幸的是，如果攻击者知道在哪里可以找到大多数安全问题的答案（例如 Facebook、LinkedIn 等），或者如果他们真的确定，可以从您或您认识的人那里进行社会工程，则可以在线找到大多数安全问题的答案。

此外，我发现安全问题的答案可能不是以“安全”的方式存储的，因为当您致电帐户支持时，代表可能会要求您通过提供问题的答案来验证自己。除非以明文形式提供给他们，否则他们不会知道答案。因此，我不认为它们是安全的答案。

鉴于此，我想说你朋友记住他的答案的方法弊大于利，因为它实际上是以明文或可逆加密格式存储密码，这两种格式都不利于安全。此外，任何人都可以对问题进行哈希处理，只要他们知道使用了哪种哈希算法，因此这并不会真正增加系统的安全性。

如果网站要求我提交安全问题的答案，我通常会提供与问题无关的无意义答案。

Q：你在哪个城市认识你的配偶？
答：香蕉

然后，我将所有问题/答案对记录在密码管理器中，以便在遇到挑战时给出正确答案。我这样做而不是使用随机字符串，因为上述需要偶尔与支持代表交谈（例如在银行要求您验证身份）。我发现这是既能满足他们对安全问题的需求又能保证我的帐户安全的最佳方式。

安全问题实际上是用词不当，因为它并不能真正提高帐户的安全性，而更像是有一个房子的后门。您没有前门的钥匙（密码），没问题，如果您知道打开密码锁的号码，请从后面进入。

也就是说，您提出的方法类似于后门也需要相同的钥匙。存在一个问题，因为您可能会暴露您的密码，该密码未经过哈希处理，而是直接附加到安全答案的末尾。以某种方式设法访问数据库的破解者可以以明文形式获取您的密码。

此外，这样做是非常多余的，因为一旦您忘记了密码，您实际上会通过回答安全问题而失去对帐户的第二次访问权限。如果您不想为您的帐户设置后门，只需键入一个随机字符串，不要费心保存或记住它：

问：你母亲的娘家姓是什么？

A: dsfjot4-5bl;f;js gge[rti[5iyj[hglk,l;dfqkportgijrb1

对于使用电子邮件地址注册的帐户，电子邮件身份验证将是重置丢失密码的更好选择。