Per prima cosa, vorrei sottolineare che questo non è considerato un processo di verifica in due passaggi perché tutti i componenti che suggerisci sono "qualcosa che conosci". Per avere la verifica in due passaggi, devi avere "qualcosa che sei" (ad es. Biometrica) o "qualcosa che hai" (ad esempio una chiave di sicurezza o un token di Google Authenticator). Vedi Wikipedia sotto "Componenti" per Autenticazione a due fattori.
L'unico vantaggio di questo processo è che se l'email dell'utente viene compromessa, ciò potrebbe impedire a un utente malintenzionato di reimpostare la propria password. Tuttavia, le domande di sicurezza sono spesso prevedibili e si può cercare l'obiettivo per trovare le risposte; come i nomi da nubile di compleanno e madre, che sono spesso di dominio pubblico.
Quindi, mentre ha alcuni vantaggi minimi di sicurezza, un sistema come questo non dovrebbe essere interpretato come "autenticazione a due fattori" e invece è solo "domande di sicurezza aggiuntive" di valore discutibile. Consentendo il reset delle password basato su domande di sicurezza che possono essere ricercate da un utente malintenzionato, in realtà si apre anche un vettore / vulnerabilità di attacco separato.