Varnostno vprašanje je vprašanje, ki se uporablja za preverjanje identitete osebe v omrežju ali spletnem mestu, zaščitenem z geslom. Uporabniki običajno izberejo eno izmed številnih biografskih vprašanj, na katera bodo odgovorili, ko ustvarijo spletne račune. Nato, če uporabnik pozabi geslo, bo pozvan, naj odgovori na to varnostno vprašanje. Če je odgovor na vprašanje pravilen, bo sistem poslal informacije o ponastavitvi gesla. Varnostna vprašanja se lahko uporabljajo tudi kot sekundarna oblika preverjanja identitete po vnosu gesla, na primer, če se uporabnik prijavlja z neznane lokacije.
Varnostna vprašanja so si pridobila naklonjenost od zgodnjih 2000-ih zaradi tega, kar včasih imenujemo »kaos z gesli«. Nekdo, ki uporablja internet za delo, šolo, bančništvo, osebno komunikacijo itd., ima lahko na desetine različnih uporabniških imen in gesel, ki jih zlahka zamenja. Pred pojavom varnostnih vprašanj bo uporabnik morda moral poklicati službo za stranke, da ročno ponastavi geslo. Spletna mesta, ki uporabnikom omogočajo ponastavitev gesel z varnostnim vprašanjem, prihranijo denar podjetjem in čas uporabnikom.
Čeprav so varnostna vprašanja priročen način za ponastavitev gesla, se na splošno štejejo za veliko manj varna kot samo geslo. Običajno varnostno vprašanje je na primer »Kakšen je dekliški priimek vaše matere?« Te informacije, čeprav morda niso splošno znane, je pogosto mogoče najti z malo internetnega iskanja in tako ogroziti uporabniški račun. Druge informacije, ki se včasih uporabljajo pri varnostnih vprašanjih, lahko vključujejo imena hišnih ljubljenčkov, najljubša počitniška mesta ali informacije o šoli, od katerih je večina redno objavljena na spletnih mestih družbenih omrežij.
Zaradi teh varnostnih tveganj morajo biti tako uporabniki kot razvijalci omrežij previdni pri varnostnih vprašanjih, ki jih izberejo, in o tem, kako nanje odgovarjajo. Dobro varnostno vprašanje mora imeti veliko možnih odgovorov, ki jih heker verjetno ne bi mogel uganiti. Uporabniki naj bodo previdni, da ne objavijo informacij v zvezi z varnostnim vprašanjem nikjer na internetu.
Razvijalci bi morali tudi vprašanja oblikovati tako, da obstaja samo en možen način za pisanje odgovora. Na primer, odgovor na vprašanje: »Kakšen je datum rojstva vaše matere?« bi lahko zapisali »1. julij 1948«, »1. julij 1948«, »7. 1. 1948« ali na poljuben drug način. Uporabnik, ki je pozabil svoje geslo, se verjetno ne bo spomnil, na kakšen način je napisal odgovor, zato je to slabo napisano varnostno vprašanje. Boljše vprašanje bi bilo: “Kateri je mesec in leto rojstva vaše matere (npr. julij 1948)?”