Questo è essenzialmente lo schema che Steam utilizza se accedi da un dispositivo "sconosciuto".
Aumenta leggermente la sicurezza, in quanto un utente malintenzionato dovrebbe compromettere sia la combinazione nome utente / password per l'applicazione, sia l'account e-mail dell'utente. Ciò rende effettivamente inutili gli attacchi non mirati.
Questo potrebbe essere considerato come una cosa negativa - se il sistema non incorpora anche le protezioni standard contro gli attacchi di forza bruta, sarebbe relativamente facile provare liste di potenziali nomi utente e password comuni, cercando la seconda schermata di accesso da visualizzare , quindi indirizzare specificamente quegli utenti. Gli utenti potrebbero presumere che dal momento che non hanno tentato di accedere, l'email deve essere un errore, e quindi non si rendono conto che potrebbero venire attaccati.
Inoltre, non funziona bene per alcune circostanze, ad esempio per un'applicazione mobile. Molte persone oggigiorno ricevono e-mail ai loro telefoni, quindi un utente malintenzionato che ha accesso al dispositivo mobile potrebbe essere in grado di accedere senza ulteriori sforzi. Questo non è diverso da un token SMS però.
C'è anche un leggero impatto sull'usabilità, specialmente per gli utenti che potrebbero non essere altamente qualificati con la navigazione web. In alcuni casi, il passaggio tra un modulo di accesso e un client di posta elettronica (anche se in un'altra scheda) può causare problemi, con conseguente frustrazione con il sito. Questo è probabilmente il motivo per cui Steam utilizza questo metodo solo per i "nuovi" dispositivi (o almeno, quelli in cui i cookie sono disabilitati, il che a sua volta suggerisce un livello ragionevole di consapevolezza della sicurezza).