La domanda segreta è una falla di sicurezza paurosa, praticamente tutte le best practices per password forti (no parole di uso comune, no frasi di senso compiuto, niente parole ricollegabili direttamente al possessore dell'account, utilizzo di caratteri speciali ecc...) vengono disattese da questo metodo. Io personalmente consiglio di mettere caratteri a caso come risposta quando la domanda segreta è obbligatoria, almeno così non è una falla di sicurezza.