認証のためになぜ新しい記憶が必要なのか
普通にパスワードを利用する場合はもちろん、パスワード管理システムや画像認証を使う場合でもユーザは秘密を新たに記憶する必要があります。パスワード管理システムの場合はマスターパスワードを記憶する必要がありますし、画像認証システムの場合は画像に関する情報を記憶する必要があります。どういうパスワード管理方法を使っているのかも、もちろん記憶しなければなりません。 マスターパスワードをひとつ記憶するぐらいなら簡単だと思う人が多いかもしれませんが、それでさえ大変だと感じる人もいるはずです。マスターパスワードを忘れるとあらゆるパスワードがわからなくなってしまいますし、マスターパスワードが流出してしまうと大変危険です。このためマスターパスワードを複雑なものにすると忘れる可能性は高まります。
画像に関して何かを覚えるのは文字列を覚えるより簡単かもしれませんが、新しく覚えた画像は忘れてしまうことが多いでしょうし、画像の上での操作なども忘れてしまいがちです。
自分だけが知っている情報をもとにして認証を行なうという方針自体は間違っていませんが、そのような秘密の情報を認証のために「新たに」記憶しなければならないというのは変な話です。引っ越した部屋に入るための合い言葉を決めろと不動産屋に言われたら嫌でしょうが、Webサービスでは平気でそういう要求が行なわれていることになります。