Una pregunta de seguridad es una pregunta utilizada para verificar la identidad de una persona en una red o sitio web protegido por contraseña. Los usuarios generalmente eligen una de una serie de preguntas biográficas para responder cuando crean cuentas en línea. Luego, si un usuario olvida la contraseña, se le pedirá que responda a esta pregunta de seguridad. Si la pregunta se responde correctamente, el sistema enviará información sobre cómo restablecer la contraseña. Las preguntas de seguridad también se pueden usar como una forma secundaria de verificación de identidad después de ingresar la contraseña, por ejemplo, si el usuario inicia sesión desde una ubicación desconocida.

Las preguntas de seguridad han ganado popularidad desde principios de la década de 2000 como resultado de lo que a veces se denomina "caos de contraseñas". Alguien que usa Internet para el trabajo, la escuela, la banca, las comunicaciones personales, etc., puede tener docenas de nombres de usuario y contraseñas diferentes que puede confundir fácilmente. Antes del advenimiento de las preguntas de seguridad, el usuario podría tener que llamar al servicio al cliente para restablecer la contraseña manualmente. Los sitios que permiten a los usuarios restablecer sus contraseñas mediante una pregunta de seguridad ahorran dinero para las empresas y tiempo para los usuarios.

Aunque las preguntas de seguridad son una forma conveniente de restablecer una contraseña, generalmente se consideran mucho menos seguras que la contraseña en sí. Una pregunta de seguridad común, por ejemplo, es "¿Cuál es el apellido de soltera de su madre?" Esta información, aunque puede no ser ampliamente conocida, a menudo se puede encontrar a través de un poco de investigación en Internet, lo que compromete la cuenta del usuario. Otra información que a veces se usa en preguntas de seguridad puede incluir los nombres de mascotas, lugares de vacaciones favoritos o información de la escuela, gran parte de la cual se publica habitualmente en los sitios de redes sociales.

Debido a estos riesgos de seguridad, tanto los usuarios como los desarrolladores de redes deben tener cuidado con las preguntas de seguridad que eligen y con la forma en que las responden. Una buena pregunta de seguridad debería tener muchas respuestas posibles que un hacker probablemente no podría adivinar. Los usuarios deben tener cuidado de no publicar información relacionada con la pregunta de seguridad en ningún lugar de Internet.

Los desarrolladores también deben formular preguntas de tal manera que solo haya una forma posible de escribir la respuesta. Por ejemplo, la respuesta a la pregunta "¿Cuál es la fecha de nacimiento de su madre?" Podría escribirse "1 de julio de 1948", "1 de julio de 1948", "7/1/1948", o cualquier otra forma. No es probable que un usuario que olvidó su contraseña recuerde de qué manera escribió la respuesta, por lo que esta es una pregunta de seguridad mal escrita. Una mejor pregunta sería: "¿Cuál es el mes y el año del nacimiento de su madre (por ejemplo, julio de 1948)?"