Sigurnosno pitanje je pitanje koje se koristi za provjeru identiteta osobe na mreži ili web stranici zaštićenoj lozinkom. Korisnici obično biraju jedno od brojnih biografskih pitanja na koja će odgovoriti kada kreiraju online račune. Zatim, ako korisnik zaboravi lozinku, od njega će se tražiti da odgovori na ovo sigurnosno pitanje. Ako je odgovor na pitanje točan, sustav će poslati informaciju o tome kako resetirati lozinku. Sigurnosna pitanja također se mogu koristiti kao sekundarni oblik provjere identiteta nakon što se unese lozinka, na primjer ako se korisnik prijavljuje s nepoznate lokacije.
Sigurnosna pitanja stekla su naklonost od ranih 2000-ih kao rezultat onoga što se ponekad naziva “kaos lozinki”. Netko tko koristi internet za posao, školu, bankarstvo, osobnu komunikaciju itd., može imati desetke različitih korisničkih imena i lozinki koje može lako zbuniti. Prije pojave sigurnosnih pitanja, korisnik će možda morati nazvati korisničku službu kako bi ručno poništio lozinku. Stranice koje korisnicima omogućuju poništavanje lozinki pomoću sigurnosnog pitanja štede novac tvrtkama i vrijeme korisnicima.
Iako su sigurnosna pitanja prikladan način poništavanja lozinke, općenito se smatraju daleko manje sigurnima od same lozinke. Uobičajeno sigurnosno pitanje je, na primjer, “Koje je djevojačko prezime vaše majke?” Ove informacije, iako možda nisu široko poznate, često se mogu pronaći putem malog internetskog traganja, kompromitirajući korisnički račun. Druge informacije koje se ponekad koriste u sigurnosnim pitanjima mogu uključivati imena kućnih ljubimaca, omiljena mjesta za odmor ili informacije o školi, od kojih se većina rutinski objavljuje na stranicama društvenih mreža.
Zbog ovih sigurnosnih rizika, i korisnici i mrežni programeri moraju paziti na sigurnosna pitanja koja biraju, kao i na to kako na njih odgovaraju. Dobro sigurnosno pitanje trebalo bi imati mnogo mogućih odgovora koje haker vjerojatno ne bi mogao pogoditi. Korisnici bi trebali paziti da ne objavljuju informacije povezane sa sigurnosnim pitanjem nigdje na internetu.
Programeri bi također trebali formulirati pitanja na način da postoji samo jedan mogući način za pisanje odgovora. Na primjer, odgovor na pitanje “Koji je datum rođenja vaše majke?” mogao bi biti napisan “1. srpnja 1948.”, “1. srpnja 1948.”, “7.” ili na bilo koji drugi način. Korisnik koji je zaboravio svoju lozinku vjerojatno se neće sjećati na koji je način napisao odgovor, zbog čega je ovo loše napisano sigurnosno pitanje. Bolje pitanje bi bilo: “Koji je mjesec i godina rođenja vaše majke (npr. srpanj 1.)?”