Pytanie zabezpieczające to pytanie służące do weryfikacji tożsamości osoby w chronionej hasłem sieci lub witrynie sieci Web. Tworząc konta internetowe, użytkownicy zazwyczaj wybierają jedno z wielu pytań biograficznych, na które mają odpowiedzieć. Następnie, jeśli użytkownik zapomni hasła, zostanie poproszony o odpowiedź na to pytanie zabezpieczające. W przypadku prawidłowej odpowiedzi na pytanie system wyśle informację, jak zresetować hasło. Pytania zabezpieczające mogą być również używane jako wtórna forma weryfikacji tożsamości po wprowadzeniu hasła, na przykład jeśli użytkownik loguje się z nieznanej lokalizacji.
Pytania bezpieczeństwa zyskały popularność od początku 2000 roku w wyniku tego, co czasami nazywa się „chaosem haseł”. Ktoś, kto używa Internetu do pracy, szkoły, bankowości, komunikacji osobistej itp., może mieć dziesiątki różnych nazw użytkownika i haseł, które może łatwo pomylić. Przed pojawieniem się pytań bezpieczeństwa, użytkownik może być zmuszony zadzwonić do obsługi klienta, aby ręcznie zresetować hasło. Witryny, które pozwalają użytkownikom zresetować swoje hasła za pomocą pytania zabezpieczającego, oszczędzają pieniądze dla firm i czas dla użytkowników.
Chociaż pytania zabezpieczające są wygodnym sposobem na zresetowanie hasła, są one ogólnie uważane za znacznie mniej bezpieczne niż samo hasło. Typowe pytanie zabezpieczające, na przykład, brzmi: „Jakie jest nazwisko panieńskie twojej matki?” Te informacje, choć mogą nie być powszechnie znane, często można znaleźć za pomocą niewielkiego śledztwa internetowego, w ten sposób narażając konto użytkownika. Inne informacje, które są czasami używane w pytaniach bezpieczeństwa, mogą obejmować imiona zwierząt domowych, ulubione miejsca na wakacje lub informacje o szkole, z których większość jest rutynowo publikowana w serwisach społecznościowych.
Ze względu na te zagrożenia bezpieczeństwa zarówno użytkownicy, jak i twórcy sieci muszą uważać na pytania bezpieczeństwa, które wybierają, a także na to, w jaki sposób na nie odpowiadają. Dobre pytanie zabezpieczające powinno zawierać wiele możliwych odpowiedzi, których haker prawdopodobnie nie byłby w stanie odgadnąć. Użytkownicy powinni uważać, aby nie publikować informacji związanych z pytaniem bezpieczeństwa nigdzie w Internecie.
Deweloperzy powinni także formułować pytania w taki sposób, aby był tylko jeden możliwy sposób na napisanie odpowiedzi. Na przykład odpowiedź na pytanie „Jaka jest data urodzenia twojej matki?” może być napisana „1 lipca 1948”, „1 lipca 1948”, „7/1/1948” lub na wiele innych sposobów. Użytkownik, który zapomniał hasła, prawdopodobnie nie będzie pamiętał, w jaki sposób napisał odpowiedź, przez co jest to źle napisane pytanie zabezpieczające. Lepszym pytaniem byłoby: „Jaki jest miesiąc i rok urodzenia twojej matki (np. lipiec 1948)?”