No es seguro, porque solo hay 26 ^ 4 soluciones posibles. Esto puede ser de fuerza bruta. Si la imagen incluye mayúsculas, podemos aumentar esto, pero incluso 52 ^ 4 es un espacio de búsqueda muy pequeño.
Supongo que te da una imagen diferente en cada intento de inicio de sesión, pero eso no hace que el espacio de búsqueda sea más pequeño.
Sin embargo, este esquema tiene una ventaja: evita la reproducción. Ingresará una combinación de letras diferente cada vez, por lo que si un intruso intercepta su entrada, no podrá usar esa combinación nuevamente.
Desafortunadamente, eso supone que el atacante recibe su entrada pero no la imagen. Este es un escenario improbable, es probable que un intruso (ya sea MITM o surf de hombro) consiga ambos. Ofrece una pequeña protección si todo el atacante tiene un keylogger en su sistema.
Entonces, esta es una idea interesante para evitar la repetición, pero mal ejecutada.