リスクベースというのは、「リスクの大きさに基づいて追加の認証をする」と考えてください。
リスクベース認証について過去問(H28秋SC午前Ⅱ問6)では、「利用者のIPアドレスなどの環境を分析し,いつもと異なるネットワークからのアクセスに対して追加の認証を行う」とあります。
たとえば、いつものIPアドレスとは違うところからアクセスすると、以下のように(ゆうちょの例)、追加で質問がなされます。(通常は、このような合言葉の質問はありません。)
 
aikotoba