リスクベースというのは、「リスクの大きさに基づいて追加の認証をする」と考えてください。
リスクベース認証について過去問では、「普段と異なる環境からのアクセスと判断した場合,追加の本人認証をすることによって,一定の利便性を保ちながら,不正アクセスに対抗し安全性を高める(H28秋AP午前Ⅱ問40)」、「利用者のIPアドレスなどの環境を分析し,いつもと異なるネットワークからのアクセスに対して追加の認証を行う(H28秋SC午前Ⅱ問6)」とあります。
たとえば、いつものIPアドレスとは違ったり、ブラウザを変えてアクセスすると、以下のように(ゆうちょの例)、追加で質問がなされます。(通常は、このような合言葉の質問はありません。)
 
aikotoba