Primero, me gustaría señalar que esto no se considera un proceso de verificación de dos pasos porque todos los componentes que sugieres son "algo que sabes". Para poder realizar la verificación en dos pasos, debes tener "algo que eres" (por ejemplo, biometría) o "algo que tienes" (por ejemplo, una clave de seguridad o un token de autenticación de Google). Consulte Wikipedia en "Componentes" para autenticación de dos factores.
La única ventaja de este proceso sería que si el correo electrónico del usuario se ve comprometido, esto podría impedir que un atacante pueda restablecer su contraseña. Sin embargo, las preguntas de seguridad a menudo son predecibles y uno puede investigar el objetivo para encontrar las respuestas; como los nombres de soltera de cumpleaños y madres que a menudo son asuntos de registro público.
Por lo tanto, si bien tiene algunas ventajas de seguridad mínimas, un sistema como este no debe interpretarse como "autenticación de dos factores" y, en cambio, es solo "preguntas de seguridad adicionales" de valor cuestionable. Al permitir el restablecimiento de contraseñas basado en preguntas de seguridad que pueden ser investigadas por un atacante, también se abre un vector de ataque / vulnerabilidad separado.