L’inconvénient, avec ces questions de sécurité (et leurs réponses), est qu'elles deviennent un handicap lorsque les réponses sont divulguées (par exemple à la suite d'une violation de données) ou de notoriété publique. Pourquoi ? Car de nombreux sites utilisent les mêmes questions de sécurité, ou avec peu de variation. Cette standardisation des questions de sécurité crée un risque important et inutile. Le risque de réutiliser des questions de sécurité est comparable à celui de réutiliser des mots de passe. En effet, si un compte est compromis, le mot de passe se retrouve dans la nature, rattaché aux identifiants et pourrait être utilisé pour une attaque contre l’uns autres comptes qui possède les mêmes identifiants. Lorsque les mots de passe sont réutilisés sur des dizaines de comptes, la divulgation d'un seul compte pourrait potentiellement compromettre tous les autres.
Bien que nous ayons généralement le contrôle sur les mots de passe que nous choisissons, en tant qu'individus, nous n'avons pas le pouvoir de modifier les questions que les sites et services posent. Cependant, nous pouvons répondre à ces questions de manière créative afin de sécuriser nos comptes et d'éliminer la menace. Voici quelques conseils de base :
1/ Dans la mesure du possible, ne sélectionnez pas les mêmes questions de sécurité sur plusieurs sites. Si le site vous le permet, choisissez vos propres questions. Cela limitera les retombées et la compromission d'autres comptes si la question/réponse de sécurité fait l'objet d'une fuite. Ce conseil est particulièrement important pour les personnalités dont la vie fait partie du domaine public ou les biographies publiées sur des sites web ;
2/ Ne répondez pas aux questions de sécurité dans un langage simple (ou dans votre langue maternelle). C'est ce que l'on attend de vous et c'est une erreur. Traitez vos réponses comme des mots de passe et introduisez de la complexité dans votre réponse. Par exemple, disons que je suis né à Little Rock, dans l’Arkansas. La question de sécurité "dans quelle ville êtes-vous né" nécessiterait la réponse "Little Rock". Maintenant, en ajoutant de la complexité, la nouvelle réponse pourrait donc être "L!ttl3 r0ck". Cette dernière est plus difficile à deviner ou à déchiffrer à l'aide d'outils automatisés. Elle apporte une couche d'obscurité supplémentaire ;
3/ Dans de nombreux cas, la meilleure solution consiste à renseigner des informations fictives à ces questions afin qu'elles restent uniques. Vous pourriez utiliser un gestionnaire de mots de passe personnel pour compléter les champs de réponse avec des réponses semblables à celles d'un mot de passe. Ensuite, enregistrez chaque question et chaque réponse dans votre gestionnaire de mots de passe. Par exemple, pour un site d’e-commerce, vous pourriez créer l'entrée : « ecommercesite.com/question_birthcity » comme compte et ensuite entrer un mot de passe aléatoire et recommandé comme réponse de sécurité. Cela vous permet de stocker en toute sécurité les informations dont vous avez besoin en cas de problème de mot de passe, tout en conservant vos réponses à la même question de sécurité de manière totalement aléatoire et unique pour tous les sites et applications.
Les questions de sécurité ont été conçues dans le but de renforcer la validation de l'identité, pour l'accès aux applications et aux sites web, en particulier en cas de problème de mot de passe ou autre défaillance. Cependant, tout comme pour la réutilisation des mots de passe, la réutilisation des paires de questions de sécurité sur plusieurs sites a permis aux acteurs malveillants de compromettre de nombreux comptes associés à une identité. En général, il suffit qu'un pirate compromette également une application secondaire, comme l'envoi de courriels ou de SMS, afin de coupler une réinitialisation de mot de passe. Malheureusement, certains sites web et applications ne vont même pas aussi loin et la connaissance de la réponse à une question de sécurité est suffisante pour compromettre un compte.