Este es esencialmente el esquema que utiliza Steam si inicias sesión desde un dispositivo "desconocido".
Aumenta un poco la seguridad, ya que un atacante tendría que comprometer la combinación de nombre de usuario / contraseña para la aplicación y la cuenta de correo electrónico del usuario. Esto hace que los ataques no dirigidos sean inútiles.
Esto podría argumentarse como algo malo: si el sistema no incorpora también las protecciones estándar contra ataques de fuerza bruta, sería relativamente fácil probar listas de nombres de usuarios potenciales y contraseñas comunes, buscando la segunda pantalla de inicio de sesión. , luego apuntar específicamente a esos usuarios. Los usuarios pueden asumir que, dado que no han intentado iniciar sesión, el correo electrónico debe ser un error y, por lo tanto, no darse cuenta de que pueden estar siendo atacados.
Tampoco funciona bien en algunas circunstancias, como en una aplicación móvil. En la actualidad, muchas personas reciben correos electrónicos en sus teléfonos, por lo que un atacante que tuvo acceso al dispositivo móvil podría iniciar sesión sin mayores esfuerzos. Sin embargo, esto no es diferente de un token de SMS.
También hay un ligero impacto en la usabilidad, especialmente para usuarios que pueden no ser muy hábiles en la navegación web. En algunos casos, el cambio entre un formulario de inicio de sesión y un cliente de correo electrónico (incluso si se encuentra en otra pestaña) puede causar problemas, lo que resulta en frustración con el sitio. Probablemente esta sea la razón por la que Steam solo utiliza este método para "nuevos" dispositivos (o al menos, aquellos donde las cookies están deshabilitadas, lo que a su vez sugiere un nivel razonable de conciencia de seguridad).