问：对于用户门户网站应用程序而言，一旦用户成功登录，是否应该允许他/她看到当前找回密码的答案？如果该门户采用单点登陆（SSO）系统，这个问题是不是很重要？

答：安全问题及其答案就像用户的ID、密码及其它登录证书一样，依然属于认证证书。因此，它们应该受到和用户ID、密码一样的保护，而与该门户是否采用SSO并不相关。登录就是登录，不管是采用单点认证系统还是采用像SSO那样复杂的系统。

　　你不会在桌面电脑或者网上泄露密码吧？安全问题和答案可以看做是密码的延伸形式。

　　这里有一些安全处理密码的规则或者说最佳方案作为参考，这些规则也应该应用到安全问答中。

• 一旦用户回答了问题，答案就应该不再显示。将来，即使要出现答案也应该像密码一样，只显示空白或者以星号覆盖。
• 如果用户需要重设问题答案，他/她应该再次找到那个问题，重新回答一次。
• 如果用户再次忘记问题的答案，他/她应该像重设密码一样找到问题，再次回答，或者转到重设问题的页面。
• 如果用户想要添加问题、删除问题或者改变问题，也需要应用相同的规则。应该要求他/她从头开始提问与回答的过程。

　　现在，请记住，重设问题和重设密码有一个关键的区别。密码需要重设时，系统管理员或者帮助中心的最佳选择是只提供一次短期密码，而且密码只是在很短的时间内比如说24小时内有效。用户以短期密码登陆后，他/她需要立刻设置新密码，然后短期密码就失效了。这样，密码一直受到保护，即使系统管理员和帮助中心也无法获得用户密码。

　　安全回答有别于密码，因为安全问题的答案由用户最初设置的，而初始密码通常由管理员或其他IT员工设置。